Předdefinované role Azure AD

Pokud v Azure Active Directory (Azure AD) potřebuje jiný správce nebo správce, než je potřeba spravovat prostředky služby Azure AD, přiřadíte jim roli Azure AD, která poskytuje potřebná oprávnění. Můžete například přiřadit role, abyste mohli přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.

V tomto článku jsou uvedené předdefinované role Azure AD, které můžete přiřadit, aby bylo možné spravovat prostředky služby Azure AD. Informace o tom, jak přiřadit role, najdete v tématu přiřazení rolí Azure AD uživatelům.

Všechny role

Role Popis ID šablony
Správce aplikace Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Vývojář aplikace Může vytvořit registrace aplikací nezávisle na nastavení uživatelé můžou registrovat aplikace. cf1c38e5-3621-4004-a7cb-879624dced7c
Autor datové části útoku Může vytvořit datovou část útoku, kterou může správce zahájit později. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Správce simulace útoků Může vytvářet a spravovat všechny aspekty simulace útoků. c430b396-e693-46cc-96f3-db01bf8bb62a
Správce ověřování Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele bez oprávnění správce. c4e39bd9-1100-46d3-8c65-fb160da0071f
Správce zásad ověřování Může vytvářet a spravovat zásady metod ověřování, nastavení MFA pro celého tenanta, zásady ochrany hesel a ověřitelné přihlašovací údaje. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Místní správce zařízení připojeného k Azure AD Uživatelé přiřazení k této roli se přidávají do místní skupiny administrators na zařízeních připojených ke službě Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps správce Může spravovat Azure DevOps a nastavení organizace. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection správce Může spravovat všechny aspekty Azure Information Protection produktu. 7495fdc4-34c4-4d15-a289-98788ce399fd
Správce sady klíčů IEF B2C Může spravovat tajné kódy pro federaci a šifrování v Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Správce zásad IEF B2C Může vytvářet a spravovat zásady architektury důvěryhodnosti v Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Správce fakturace Může provádět běžné úlohy související s fakturací, jako je aktualizace platebních údajů. b0f54661-2d74-4c50-afa3-1ec803f12efe
Správce cloudové aplikace Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací kromě proxy aplikací. 158c047a-c907-4556-b7ef-446551a6b5f7
Správce cloudového zařízení Omezený přístup ke správě zařízení ve službě Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Správce dodržování předpisů Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Azure AD a Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Správce dat dodržování předpisů Vytvoří a spravuje obsah dodržování předpisů. e6d1a23a-da11-4be4-9570-befc86d067a7
Správce podmíněného přístupu Může spravovat funkce podmíněného přístupu. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Schvalovatel přístupu k bezpečnostnímu modulu zákazníka Může schvalovat žádosti o podporu Microsoftu pro přístup k datům organizace zákazníka. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Správce Desktop Analytics Umožňuje přístup k nástrojům a službám správy plochy a jejich správa. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Čtečky adresářů Může číst základní informace o adresáři. Běžně se používá pro udělení přístupu ke čtení adresáře aplikacím a hostům. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Účty synchronizace adresářů Používáno pouze službou Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Zapisovače adresářů Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. 9360feb5-f418-4baa-8175-e2a00bac4301
Správce názvů domén Může spravovat názvy domén v cloudu i v místním prostředí. 8329153b-31d0-4727-b945-745eb3bc5f31
Správce Dynamics 365 Může spravovat všechny aspekty produktu Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Správce Exchange Může spravovat všechny aspekty produktu Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Správce příjemce Exchange Může vytvořit nebo aktualizovat příjemce Exchange Online v rámci organizace Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Správce toku externího ID uživatele Může vytvářet a spravovat všechny aspekty toků uživatelů. 6e591065-9bad-43ed-90f3-e9424366d2f0
Správce atributů toku uživatele externího ID Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Správce externích zprostředkovatelů identity Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci. be2f45a1-457d-42af-a067-6ec1fa63bc45
Globální správce Může spravovat všechny aspekty Azure AD a služeb Microsoftu, které používají identity Azure AD. 62e90394-69f5-4237-9190-012177145e10
Globální čtenář Může číst vše, co globální správce může, ale ne vše aktualizovat. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Správce skupin Členové této role mohou vytvářet a spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady vytváření názvů a vypršení platnosti, a zobrazit aktivity skupin a sestavy auditování. fdd7a751-b60b-444a-984c-02652fe8fa1c
Pozvaný host Může pozvat uživatele typu host nezávisle na nastavení členové mohou zvat hosty. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Správce helpdesku Může resetovat hesla pro uživatele bez oprávnění správce a správce helpdesku. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Správce hybridní identity Může spravovat zřizování z AD do cloudu Azure AD, Azure AD Connect a nastavení federace. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Správce zásad správného řízení identit Správa přístupu pomocí Azure AD pro scénáře zásad správného řízení identit 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Správce přehledů Má přístup pro správu v aplikaci Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights Business Leader Může zobrazit a sdílet řídicí panely a přehledy prostřednictvím aplikace Přehledy M365. 31e939ad-9672-4796-9c2e-873181342d2d
Správce Intune Může spravovat všechny aspekty produktu Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Správce Kaizala Může spravovat nastavení pro Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Správce znalostní báze Může konfigurovat znalosti, učení a další inteligentní funkce. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Správce znalostní báze Dokáže organizovat, vytvářet, spravovat a propagovat témata a poznatky. 744ec460-397e-42ad-a462-8b3f9747a02c
Správce licencí Může spravovat licence na produkty pro uživatele a skupiny. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Čtenář ochrany osobních údajů centra zpráv Může číst zprávy zabezpečení a aktualizace pouze v centru zpráv systému Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Čtenář centra zpráv Může číst zprávy a aktualizace pro svou organizaci jenom v centru zpráv Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Moderní uživatel pro obchodování Může spravovat komerční nákupy pro firmu, oddělení nebo tým. d24aef57-1500-4070-84db-2666f29cf966
Správce sítě Může spravovat síťová umístění a prohlížet informace o návrhu podnikové sítě, které Microsoft 365 software jako aplikace služby. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Správce aplikací Office Může spravovat aplikace Office Cloud Services, včetně správy zásad a nastavení, a spravovat možnost výběru, zrušení výběru a publikování obsahu funkcí co je nového pro zařízení koncových uživatelů. 2b745bdf-0803-4d80-aa65-822c4493daac
Podpora partnerů Tier1 Nepoužívejte – Neurčeno pro obecné použití. 4ba39ca4-527c-499a-b93d-d9b492c50246
Podpora partnerů 2 Nepoužívejte – Neurčeno pro obecné použití. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Správce hesel Může resetovat hesla správců, kteří nejsou správci a hesla. 966707d0-3269-4727-9be2-8c3a10f19b9d
Správce Power BI Může spravovat všechny aspekty Power BI produktu. a9ea8996-122f-4c74-9520-8edcd192826c
Správce Power Platform Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, PowerApps a Microsoft Flow. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Správce tiskárny Může spravovat všechny aspekty tiskáren a konektorů tiskáren. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technik tiskárny Může registrovat a rušit registraci tiskáren a aktualizovat stav tiskárny. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Správce privilegovaného ověřování Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo správce bez oprávnění správce). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Správce privilegovaných rolí Může spravovat přiřazení rolí v Azure AD a všechny aspekty Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Čtečka sestav Může číst sestavy pro přihlášení a audit. 4a5d8f65-41da-4de4-8968-e035b65339cf
Správce hledání Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor vyhledávání Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, podlahová rovina. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Správce zabezpečení Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Azure AD a Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operátor zabezpečení Vytváří a spravuje události zabezpečení. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Čtenář zabezpečení Může číst informace o zabezpečení a sestavy v Azure AD a Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Správce podpory služeb Může číst informace o stavu služby a spravovat lístky podpory. f023fd81-a637-4b56-95fd-791ac0226033
Správce SharePointu Může spravovat všechny aspekty služby SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Správce Skypu pro firmy Může spravovat všechny aspekty produktu Skype pro firmy. 75941009-915a-4869-abe7-691bff18279e
Správce týmů Může spravovat službu Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Správce komunikace týmů Může spravovat funkce volání a schůzek ve službě Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Týmy Communications support inženýr Může řešit problémy s komunikací v rámci týmů pomocí pokročilých nástrojů. f70938a0-fc10-4177-9e90-2178f8765737
Týmy Communications support specialisty Může řešit problémy s komunikací v rámci týmů pomocí základních nástrojů. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Správci zařízení Teams Může provádět úlohy související se správou na certifikovaných zařízeních týmů. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Čtečka sestav Souhrn využití V Microsoft 365 analýza využití a skóre produktivity se můžou zobrazit jenom agregace na úrovni tenanta. 75934031-6c7e-415a-99d7-48dbd49e875e
Správce uživatele Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. fe930be7-5e62-47db-91af-98c3a49a38b1

Správce aplikace

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidali jako vlastníci.

Tato role také uděluje možnost udělit souhlas pro delegovaná oprávnění a oprávnění aplikací s výjimkou oprávnění aplikace pro Microsoft Graph i Azure AD Graph.

Důležité

Tato výjimka znamená, že stále můžete vyjádřit souhlas s oprávněními aplikace pro ostatní aplikace (například aplikace od jiných společností než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete přesto vyžádat jako součást registrace aplikace, ale udělení (tj. přijetí) vyžaduje oprávnění správce, jako je například globální správce.

Tato role uděluje možnost spravovat přihlašovací údaje aplikací. Uživatelé přiřazení k této roli můžou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud má identita aplikace udělen přístup k prostředku, jako je třeba možnost vytvořit nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění, přes co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli správce aplikace jim dává možnost zosobnit identitu aplikace.

Akce Popis
Microsoft. Directory/aplikace/vytvořit Vytvořit všechny typy aplikací
Microsoft. Directory/aplikace/odstranit Odstranit všechny typy aplikací
Microsoft. Directory/Applications/applicationProxy/Read Číst všechny vlastnosti proxy aplikace
Microsoft. Directory/Applications/applicationProxy/Update Aktualizovat vlastnosti proxy všech aplikací
Microsoft. Directory/Applications/applicationProxyAuthentication/Update Aktualizovat ověřování u všech typů aplikací
Microsoft. Directory/Applications/applicationProxySslCertificate/Update Aktualizovat nastavení certifikátu SSL pro proxy aplikací
Microsoft. Directory/Applications/applicationProxyUrlSettings/Update Aktualizovat nastavení adresy URL pro proxy aplikací
Microsoft. Directory/Applications/appRoles/Update Aktualizuje vlastnost appRoles u všech typů aplikací.
Microsoft. Directory/Applications/publikum/Update Aktualizace vlastnosti cílové skupiny pro aplikace
Microsoft. Directory/Applications/Authentication/Update Aktualizovat ověřování u všech typů aplikací
Microsoft. Directory/Applications/Basic/Update Aktualizace základních vlastností pro aplikace
Microsoft. Directory/aplikace/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje aplikace
Microsoft. Directory/aplikace/vlastníci/aktualizace Aktualizovat vlastníky aplikací
Microsoft. Directory/aplikace/oprávnění/aktualizace Aktualizace zveřejněných oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/verification/update Aktualizace vlastnosti konvergování aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidružených k objektu aplikace
microsoft.directory/applicationTemplates/vytvoření instance Vytváření instancí aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/connectors/create Vytvoření konektorů proxy aplikací
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/connectorGroups/create Vytvoření skupin konektoru proxy aplikací
microsoft.directory/connectorGroups/delete Odstranění skupin konektoru proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Načte všechny vlastnosti skupin konektorů proxy aplikací.
Microsoft. Directory/connectorGroups/allProperties/Update Aktualizovat všechny vlastnosti skupin konektorů proxy aplikací
Microsoft. Directory/oAuth2PermissionGrants/allProperties/allTasks Umožňuje vytvářet a odstraňovat oprávnění OAuth 2,0 a číst a aktualizovat všechny vlastnosti.
Microsoft. Directory/applicationPolicies/Create Vytvoření zásad použití
Microsoft. Directory/applicationPolicies/DELETE Odstranit zásady použití
Microsoft. Directory/applicationPolicies/Standard/Read Čtení standardních vlastností zásad použití
Microsoft. Directory/applicationPolicies/Owners/Read Čtení vlastníků u zásad použití
Microsoft. Directory/applicationPolicies/policyAppliedTo/Read Číst zásady použití pro seznam objektů
Microsoft. Directory/applicationPolicies/Basic/Update Aktualizace standardních vlastností zásad použití
Microsoft. Directory/applicationPolicies/Owners/Update Aktualizace vlastnosti Owner zásad použití
Microsoft. Directory/provisioningLogs/allProperties/Read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění objektů služby
microsoft.directory/servicePrincipals/disable Zakázání objektů služby
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů pro jednotné přihlašování hesel u objektů služby
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení úloh synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytvoření a správa úloh a schématu synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů pro jednotné přihlašování s heslem u objektů služby
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph a Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizovat přiřazení rolí instančního objektu
Microsoft. Directory/servicePrincipals/publikum/Update Aktualizovat vlastnosti cílové skupiny u instančních objektů
Microsoft. Directory/servicePrincipals/Authentication/Update Aktualizovat vlastnosti ověřování u instančních objektů
Microsoft. Directory/servicePrincipals/Basic/Update Aktualizace základních vlastností u instančních objektů
Microsoft. Directory/servicePrincipals/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje objektů služby
Microsoft. Directory/servicePrincipals/Owners/Update Aktualizujte vlastníky instančních objektů.
Microsoft. Directory/servicePrincipals/oprávnění/aktualizace Aktualizovat oprávnění instančních objektů
Microsoft. Directory/servicePrincipals/policies/Update Aktualizovat zásady instančních objektů
Microsoft. Directory/servicePrincipals/tag/Update Aktualizace vlastnosti značky pro instanční objekty
Microsoft. Directory/servicePrincipals/Synchronization/Standard/Read Čtení nastavení zřizování přidružených k vašemu instančnímu objektu
Microsoft. Directory/signInReports/allProperties/Read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Vývojář aplikace

Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k souhlasu vlastním jménem, když je nastavení Uživatelé mohou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací přidávají jako vlastníci.

Akce Popis
microsoft.directory/applications/createAsOwner Vytvořte všechny typy aplikací a tvůrce se přidá jako první vlastník.
microsoft.directory/appRoleAssignments/createAsOwner Vytvoření přiřazení aplikačních rolí s tvůrcem jako prvním vlastníkem
microsoft.directory/oAuth2PermissionGrants/createAsOwner Vytvoření oprávnění OAuth 2.0 s autorem jako prvním vlastníkem
Microsoft. Directory/servicePrincipals/createAsOwner Vytvoření instančních objektů s autorem jako prvním vlastníkem

Autor datové části útoku

Uživatelé v této roli můžou vytvářet datovou část útoku, ale nemůžou je ve skutečnosti spouštět nebo naplánovat. Datová část útoku je pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.

Akce Popis
Microsoft. Office 365. protectionCenter/attackSimulator/datové části/allProperties/allTasks Vytváření a Správa datových částí útoku v simulátoru útoků
Microsoft. Office 365. protectionCenter/attackSimulator/Reports/allProperties/Read Přečtěte si sestavy pro simulace útoků útoku a související školení.

Správce simulace útoků

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty vytvoření simulace útoku, spustit nebo naplánovat simulaci a zkontrolovat výsledky simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.

Akce Popis
Microsoft. Office 365. protectionCenter/attackSimulator/datové části/allProperties/allTasks Vytváření a Správa datových částí útoku v simulátoru útoků
Microsoft. Office 365. protectionCenter/attackSimulator/Reports/allProperties/Read Přečtěte si sestavy pro simulace útoků útoku a související školení.
Microsoft. Office 365. protectionCenter/attackSimulator/simulace/allProperties/allTasks Vytváření a Správa šablon simulace útoků v simulátoru útoku

Správce ověřování

Uživatelé s touto rolí můžou nastavit nebo resetovat jakoukoli metodu ověřování (včetně hesel) pro uživatele bez oprávnění správce a některé role. Správci ověřování můžou vyžadovat, aby uživatelé, kteří jsou bez oprávnění správce nebo se k některým rolím přiřadili, zaregistrovali v rámci stávajících přihlašovacích údajů, které nepoužívají heslo (například MFA nebo FIDO), a taky můžou zapomenout MFA na zařízení, která při příštím přihlášení VYZVE k MFA. Seznam rolí, které může správce ověřování číst nebo aktualizovat metody ověřování, najdete v tématu oprávnění k resetování hesla.

Role správce privilegovaného ověřování má oprávnění k vynucení opakované registrace a ověřování Multi-Factor Authentication pro všechny uživatele.

Role správce zásad ověřování má oprávnění k nastavení zásad ověřování klienta, které určuje, které metody může každý uživatel registrovat a používat.

Role Umožňuje spravovat metody ověřování uživatele. Správa MFA pro jednotlivé uživatele Správa nastavení vícefaktorového ověřování Správa zásad metod ověřování Spravovat zásady ochrany heslem
Správce ověřování Ano pro některé uživatele (viz výše) Ano pro některé uživatele (viz výše) No No No
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No
Správce zásad ověřování No No Yes Yes Yes

Důležité

Uživatelé s touto rolí můžou měnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř i mimo Azure Active Directory. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat identitu a oprávnění tohoto uživatele. Například:

  • Registrace aplikace a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění ve službě Azure AD a jinde nejsou udělená správcům ověřování. Prostřednictvím této cesty může správce ověřování převzít identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří mohou mít přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a Microsoft 365 skupiny uživatelů, kteří mohou spravovat členství ve skupinách. Tyto skupiny mohou udělit přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure AD a jinde.
  • Správci v jiných službách mimo Azure AD, jako je Exchange Online, Centrum zabezpečení a dodržování předpisů Office a systémy lidských zdrojů.
  • Uživatelé, kteří nejsou správci, jako jsou členové vedení, právní zástupci a zaměstnanci lidských zdrojů, kteří můžou mít přístup k citlivým nebo soukromým informacím.

Důležité

Tato role nemůže spravovat nastavení MFA ve starší verzi portálu pro správu MFA nebo hardwarových tokenech OATH. Stejné funkce je možné provádět pomocí rutiny Set-MsolUser modulu Azure AD PowerShell.

Akce Popis
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení tím, že zneplatní tokeny aktualizace uživatele
microsoft.directory/users/strongAuthentication/update Aktualizace vlastnosti silného ověřování pro uživatele
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce zásad ověřování

Uživatelé s touto rolí můžou konfigurovat zásady metod ověřování, nastavení VÍCEFAKTOROVÉHO ověřování na úrovni tenanta a zásady ochrany heslem. Tato role uděluje oprávnění ke správě nastavení ochrany heslem: Konfigurace inteligentního uzamknutí a aktualizace vlastního seznamu zakázaných hesel.

Role správce ověřování a správce privilegovaného ověřování mají oprávnění ke správě registrovaných metod ověřování pro uživatele a můžou vynutit opakovanou registraci a službu Multi-Factor Authentication pro všechny uživatele.

Role Umožňuje spravovat metody ověřování uživatele. Správa MFA pro jednotlivé uživatele Správa nastavení vícefaktorového ověřování Správa zásad metod ověřování Spravovat zásady ochrany heslem
Správce ověřování Ano pro některé uživatele (viz výše) Ano pro některé uživatele (viz výše) No No No
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No
Správce zásad ověřování No No Yes Yes Yes

Důležité

Tato role nemůže spravovat nastavení MFA na starším portálu pro správu MFA nebo v tokenech OATH pro hardware.

Akce Popis
Microsoft. Directory/Organization/strongAuthentication/Read Čtení vlastnosti silného ověřování pro organizaci
microsoft.directory/organization/strongAuthentication/update Aktualizace vlastností silného ověřování v organizaci
microsoft.directory/userCredentialPolicies/create Vytvoření zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/delete Odstranění zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/standard/read Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/owners/read Čtení vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Přečtěte si policy.appliesTo navigation link
microsoft.directory/userCredentialPolicies/basic/update Aktualizace základních zásad pro uživatele
microsoft.directory/userCredentialPolicies/owners/update Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/tenantDefault/update Aktualizace vlastnosti policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Přečíst ověřitelný přihlašovací kartu
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/Card/REVOKE Odvolání ověřitelné karty pověření
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/Create Vytvoření ověřitelného kontraktu přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/allProperties/Read Čtení ověřitelných kontraktů pověření
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/allProperties/Update Aktualizace ověřitelného kontraktu přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/Create Vytvořit konfiguraci nutnou k vytvoření a správě ověřitelných přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/DELETE Odstraňte konfiguraci nutnou k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech svých ověřitelných přihlašovacích údajů.
Microsoft. Directory/verifiableCredentials/Configuration/allProperties/Read Čtení konfigurace nutná k vytváření a správě ověřitelných přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/allProperties/Update Konfigurace aktualizace potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure

Místní správce zařízení připojený k Azure AD

Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou Správci místních počítačů na všech zařízeních s Windows 10, která jsou připojená k Azure Active Directory. Neposkytují možnost spravovat objekty zařízení v Azure Active Directory.

Akce Popis
Microsoft. Directory/groupSettings/Standard/Read Číst základní vlastnosti pro nastavení skupiny
Microsoft. Directory/groupSettingTemplates/Standard/Read Čtení základních vlastností v šablonách nastavení skupiny

Správce Azure DevOps

Uživatelé s touto rolí můžou spravovat zásady Azure DevOps a omezit tak nové vytváření organizací Azure DevOps na sadu konfigurovatelných uživatelů nebo skupin. Uživatelé v této roli mohou spravovat tuto zásadu prostřednictvím jakékoli organizace Azure DevOps, která je zajištěna organizací Azure AD společnosti. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například správce kolekce projektů) ve všech organizacích Azure DevOps zajištěných organizací Azure AD společnosti.

Všechny zásady Enterprise Azure DevOps můžou spravovat uživatelé v této roli.

Akce Popis
Microsoft. Azure. devOps/allEntities/allTasks Čtení a konfigurace Azure DevOps

Správce Azure Information Protection

Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky pro zásady Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění v centru služby Identity Protection Center, Privileged Identity Management, monitor Microsoft 365 Service Health nebo v centru pro dodržování předpisů Office 365 Security &.

Akce Popis
Microsoft. Azure. informationProtection/allEntities/allTasks Umožňuje spravovat všechny aspekty Azure Information Protection.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce sady klíčů IEF B2C

Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování/dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby přechádovat tajné kódy, aniž by to ovlivnilo stávající aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a jejich data vypršení platnosti i po jejich vytvoření.

Důležité

Toto je citlivá role. Role správce sady klíčů by měla být pečlivě auditována a přiřazena s opatrností během předprodukce a produkce.

Akce Popis
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Čtení a aktualizace všech vlastností zásad autorizace

Správce zásad IEF B2C

Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C a proto mají plnou kontrolu nad Identity Experience Framework v příslušné Azure AD B2C organizaci. Úpravou zásad může tento uživatel vytvořit přímou federaci s externími zprostředkovateli identity, změnit schéma adresáře, změnit veškerý obsah pro uživatele (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, odeslat uživatelská data do externích systémů včetně úplné migrace a upravit všechny uživatelské informace, včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže měnit šifrovací klíče ani upravovat tajné kódy používané pro federaci v organizaci.

Důležité

Správce zásad IEF B2 je vysoce citlivá role, která by se organizacím v produkčním prostředí měla přiřazuje velmi omezeným způsobem. Aktivity těchto uživatelů by se měly pečlivě auditovat, zejména u organizací v produkčním prostředí.

Akce Popis
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Čtení a konfigurace sad klíčů v Azure Active Directory B2C

Správce fakturace

Může dělat nákupy, spravovat předplatná, spravovat lístky žádostí o podporu a sledovat stav služeb.

Akce Popis
microsoft.directory/organization/basic/update Aktualizace základních vlastností v organizaci
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.commerce.billing/allEntities/allTasks Správa všech aspektů fakturace Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce cloudové aplikace

Uživatelé v této roli mají stejná oprávnění jako role správce aplikace, kromě možnosti spravovat proxy aplikace. Tato role uděluje možnost vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli nebudou přidáni jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.

Tato role také uděluje možnost udělit souhlas pro delegovaná oprávnění a oprávnění aplikací s výjimkou oprávnění aplikace pro Microsoft Graph i Azure AD Graph.

Důležité

Tato výjimka znamená, že stále můžete vyjádřit souhlas s oprávněními aplikace pro ostatní aplikace (například aplikace od jiných společností než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete přesto vyžádat jako součást registrace aplikace, ale udělení (tj. přijetí) vyžaduje oprávnění správce, jako je například globální správce.

Tato role uděluje možnost spravovat přihlašovací údaje aplikací. Uživatelé přiřazení k této roli můžou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud má identita aplikace udělen přístup k prostředku, jako je třeba možnost vytvořit nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění, přes co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli správce aplikace jim dává možnost zosobnit identitu aplikace.

Akce Popis
Microsoft. Directory/aplikace/vytvořit Vytvořit všechny typy aplikací
Microsoft. Directory/aplikace/odstranit Odstranit všechny typy aplikací
Microsoft. Directory/Applications/appRoles/Update Aktualizuje vlastnost appRoles u všech typů aplikací.
Microsoft. Directory/Applications/publikum/Update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování pro všechny typy aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností aplikací
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace zveřejněných oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/verification/update Aktualizace vlastnosti konvergování aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidružených k objektu aplikace
microsoft.directory/applicationTemplates/vytvoření instance Vytváření instancí aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Načte všechny vlastnosti v protokolech auditu, včetně privilegovaných vlastností.
Microsoft. Directory/oAuth2PermissionGrants/allProperties/allTasks Umožňuje vytvářet a odstraňovat oprávnění OAuth 2,0 a číst a aktualizovat všechny vlastnosti.
Microsoft. Directory/applicationPolicies/Create Vytvoření zásad použití
Microsoft. Directory/applicationPolicies/DELETE Odstranit zásady použití
Microsoft. Directory/applicationPolicies/Standard/Read Čtení standardních vlastností zásad použití
Microsoft. Directory/applicationPolicies/Owners/Read Čtení vlastníků u zásad použití
Microsoft. Directory/applicationPolicies/policyAppliedTo/Read Číst zásady použití pro seznam objektů
Microsoft. Directory/applicationPolicies/Basic/Update Aktualizace standardních vlastností zásad použití
Microsoft. Directory/applicationPolicies/Owners/Update Aktualizace vlastnosti Owner zásad použití
Microsoft. Directory/provisioningLogs/allProperties/Read Načte všechny vlastnosti protokolů zřizování.
Microsoft. Directory/servicePrincipals/Create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění objektů služby
microsoft.directory/servicePrincipals/disable Zakázání objektů služby
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů pro jednotné přihlašování hesel u objektů služby
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení úloh synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytvoření a správa úloh a schématu synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů pro jednotné přihlašování s heslem u objektů služby
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph a Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí objektů služby
microsoft.directory/servicePrincipals/audience/update Aktualizovat vlastnosti cílové skupiny u instančních objektů
Microsoft. Directory/servicePrincipals/Authentication/Update Aktualizovat vlastnosti ověřování u instančních objektů
Microsoft. Directory/servicePrincipals/Basic/Update Aktualizace základních vlastností u instančních objektů
Microsoft. Directory/servicePrincipals/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje objektů služby
Microsoft. Directory/servicePrincipals/Owners/Update Aktualizujte vlastníky instančních objektů.
Microsoft. Directory/servicePrincipals/oprávnění/aktualizace Aktualizovat oprávnění instančních objektů
Microsoft. Directory/servicePrincipals/policies/Update Aktualizovat zásady instančních objektů
Microsoft. Directory/servicePrincipals/tag/Update Aktualizace vlastnosti značky pro instanční objekty
Microsoft. Directory/servicePrincipals/Synchronization/Standard/Read Čtení nastavení zřizování přidružených k vašemu instančnímu objektu
Microsoft. Directory/signInReports/allProperties/Read Načte všechny vlastnosti v sestavách přihlášení, včetně privilegovaných vlastností.
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce cloudových zařízení

Uživatelé v této roli mohou povolit, zakázat a odstranit zařízení ve službě Azure AD a číst Windows 10 nástroje BitLocker (pokud jsou k dispozici) v Azure Portal. Role neuděluje oprávnění ke správě ostatních vlastností zařízení.

Akce Popis
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/bitlockerKeys/key/read Čtení metadat a klíče nástroje BitLocker na zařízeních
microsoft.directory/devices/delete Odstranění zařízení z Azure AD
microsoft.directory/devices/disable Zakázání zařízení v Azure AD
Microsoft. Directory/Devices/Enable Povolení zařízení ve službě Azure AD
Microsoft. Directory/Devices/extensionAttributes/Update Aktualizuje všechny hodnoty pro vlastnost Devices. extensionAttributes.
Microsoft. Directory/deviceManagementPolicies/Standard/Read Číst standardní vlastnosti v zásadách aplikací pro správu zařízení
Microsoft. Directory/deviceManagementPolicies/Basic/Update Aktualizace základních vlastností v zásadách aplikací pro správu zařízení
Microsoft. Directory/deviceRegistrationPolicy/Standard/Read Číst standardní vlastnosti v zásadách registrace zařízení
Microsoft. Directory/deviceRegistrationPolicy/Basic/Update Aktualizace základních vlastností v zásadách registrace zařízení
Microsoft. Directory/signInReports/allProperties/Read Načte všechny vlastnosti v sestavách přihlášení, včetně privilegovaných vlastností.
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365

Správce dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů v centru pro Microsoft 365 dodržování předpisů, Microsoft 365 centrum pro správu, Azure a zabezpečení Office 365 v centru dodržování předpisů &. Přiřazování mohou také spravovat všechny funkce v centru pro správu Exchange a v centrech pro správu Teams & Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v části Informace o Microsoft 365 rolí správce.

V Může to udělat
Centrum dodržování předpisů Microsoftu 365 Ochrana a správa dat organizace napříč Microsoft 365 službami
Správa výstrah dodržování předpisů
Správce dodržování předpisů Sledování, přiřazování a ověřování aktivit organizace v oblasti dodržování právních předpisů
Centrum zabezpečení a dodržování & Office 365 Správa zásad správného řízení dat
Právní úkony a šetření dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako Skupina rolí správce dodržování předpisů v Office 365 Security & Compliance Center řízení přístupu na základě role.
Intune Zobrazit vše dat auditu Intune
Cloud App Security Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny integrované sestavy v Správa dat
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
Microsoft. Directory/entitlementManagement/allProperties/Read Čtení všech vlastností v Azure AD – Správa nároků
Microsoft. Office 365. complianceManager/allEntities/allTasks Správa všech aspektů správce dodržování předpisů pro Office 365
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce dat dodržování předpisů

Uživatelé s touto rolí mají oprávnění sledovat data v Microsoft 365 centrum dodržování předpisů, Microsoft 365 centrum pro správu a Azure. Uživatelé také mohou sledovat data o dodržování předpisů v centru pro správu Exchange, správců dodržování předpisů a týmech & centru pro správu Skypu pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Tato dokumentace obsahuje podrobnosti o rozdílech mezi správcem dodržování předpisů a správcem dat dodržování předpisů.

V Může
Centrum kompatibility Microsoft 365 Monitorování zásad souvisejících s dodržováním předpisů napříč Microsoft 365 službami
Spravovat výstrahy dodržování předpisů
Správce dodržování předpisů Sledovat, přiřazovat a ověřovat aktivity dodržování předpisů právními předpisy vaší organizace
Office 365 Security & – centrum dodržování předpisů Správa zásad správného řízení dat
Právní úkony a šetření dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako skupina role Správce dat dodržování předpisů v Office 365 Security & Compliance Center řízení přístupu na základě role.
Intune Zobrazit vše dat auditu Intune
Cloud App Security Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny integrované sestavy v Správa dat
Akce Popis
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce podmíněného přístupu

Uživatelé s touto rolí mají možnost spravovat Azure Active Directory nastavení podmíněného přístupu.

Akce Popis
Microsoft. Directory/conditionalAccessPolicies/Create Vytvoření zásad podmíněného přístupu
Microsoft. Directory/conditionalAccessPolicies/DELETE Odstranění zásad podmíněného přístupu
Microsoft. Directory/conditionalAccessPolicies/Standard/Read Číst podmíněný přístup pro zásady
Microsoft. Directory/conditionalAccessPolicies/Owners/Read Přečtěte si vlastníky zásad podmíněného přístupu.
Microsoft. Directory/conditionalAccessPolicies/policyAppliedTo/Read Přečtěte si vlastnost "použito na" pro zásady podmíněného přístupu.
Microsoft. Directory/conditionalAccessPolicies/Basic/Update Aktualizace základních vlastností pro zásady podmíněného přístupu
Microsoft. Directory/conditionalAccessPolicies/Owners/Update Aktualizace vlastníků pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/crossTenantAccessPolicies/create Vytvoření zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/delete Odstranění zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/owners/read Čtení vlastníků zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost policyAppliedTo zásad přístupu mezi tenanty.
microsoft.directory/crossTenantAccessPolicies/basic/update Aktualizace základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/owners/update Aktualizace vlastníků zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady přístupu mezi tenanty

Customer LockBox Access Approver

Spravuje Customer Lockbox ve vaší organizaci. Přijímají e-mailová oznámení týkající se Customer Lockbox požadavků a můžou schvalovat a zamítat žádosti z centra pro správu Microsoft 365. Také je možné zapnout nebo vypnout funkci Customer Lockbox. Pouze globální Správci mohou resetovat hesla uživatelů přiřazených k této roli.

Akce Popis
Microsoft. Office 365. bezpečnostní modul/allEntities/allTasks Umožňuje spravovat všechny aspekty Customer Lockbox.
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce Desktop Analytics

Uživatelé v této roli můžou spravovat službu Desktop Analytics. To zahrnuje možnost Zobrazit inventář assetů, vytvářet plány nasazení a zobrazovat stav nasazení a stavu.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics

Čtečky adresářů

Uživatelé v této roli mohou číst základní informace o adresáři. Tato role by se měla použít pro:

  • Udělení přístupu ke čtení konkrétní sady uživatelů typu host místo udělení oprávnění všem uživatelům typu Host.
  • Udělení konkrétní sady uživatelů bez oprávnění správce přístup k Azure Portal, když je možnost omezit přístup k portálu Azure AD jenom na správce, nastavená na Ano.
  • Udělení instančních objektů přístup k adresáři, kde Directory. Read. All není možnost.
Akce Popis
Microsoft. Directory/administrativeUnits/Standard/Read Číst základní vlastnosti pro jednotky pro správu
Microsoft. Directory/administrativeUnits/Members/Read Čtení členů jednotek pro správu
Microsoft. Directory/Applications/Standard/Read Čtení standardních vlastností aplikací
Microsoft. Directory/aplikace/vlastníci/čtení Čtení vlastníků aplikací
Microsoft. Directory/aplikace/zásady/číst Čtení zásad aplikací
Microsoft. Directory/Contacts/Standard/Read Číst základní vlastnosti kontaktů v Azure AD
Microsoft. Directory/Contacts/memberOf/Read Číst členství ve skupině pro všechny kontakty ve službě Azure AD
Microsoft. Directory/Contracts/Standard/Read Čtení základních vlastností na kontraktech partnerů
Microsoft. Directory/zařízení/standardní/číst Číst základní vlastnosti na zařízeních
microsoft.directory/devices/memberOf/read Čtení členství v zařízeních
microsoft.directory/devices/registeredOwners/read Čtení registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/read Čtení registrovaných uživatelů zařízení
microsoft.directory/directoryRoles/standard/read Aktualizace základních vlastností v rolích Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Čtení oprávněných členů rolí Azure AD
microsoft.directory/directoryRoles/members/read Čtení všech členů rolí Azure AD
microsoft.directory/domains/standard/read Čtení základních vlastností v doménách
microsoft.directory/groups/standard/read Čtení základních vlastností ve skupinách
microsoft.directory/groups/appRoleAssignments/read Čtení přiřazení rolí aplikace pro skupiny
microsoft.directory/groups/memberOf/read Přečtěte si skupiny, jejichž členem je skupina ve službě Azure AD.
Microsoft. Directory/Groups/Members/Read Čtení členů skupin
Microsoft. Directory/Groups/Owners/Read Čtení vlastníků skupin
Microsoft. Directory/Groups/Settings/Read Čtení nastavení skupin
Microsoft. Directory/groupSettings/Standard/Read Číst základní vlastnosti pro nastavení skupiny
Microsoft. Directory/groupSettingTemplates/Standard/Read Čtení základních vlastností v šablonách nastavení skupiny
Microsoft. Directory/oAuth2PermissionGrants/Standard/Read Číst základní vlastnosti pro udělení oprávnění OAuth 2,0
Microsoft. Directory/Organization/Standard/číst Čtení základních vlastností v organizaci
Microsoft. Directory/Organization/trustedCAsForPasswordlessAuth/Read Čtení důvěryhodných certifikačních autorit pro ověřování neheslem
Microsoft. Directory/applicationPolicies/Standard/Read Čtení standardních vlastností zásad použití
Microsoft. Directory/roleAssignments/Standard/Read Číst základní vlastnosti přiřazení rolí
microsoft.directory/roleDefinitions/standard/read Čtení základních vlastností definic rolí
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Čtení přiřazení rolí objektů služby
microsoft.directory/servicePrincipals/appRoleAssignments/read Čtení přiřazení rolí přiřazených k objektům služby
microsoft.directory/servicePrincipals/standard/read Čtení základních vlastností objektů služby
microsoft.directory/servicePrincipals/memberOf/read Čtení členství ve skupinách u objektů služby
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Oprávnění Číst delegovaná oprávnění u objektů služby
microsoft.directory/servicePrincipals/owners/read Čtení vlastníků objektů služby
microsoft.directory/servicePrincipals/ownedObjects/read Čtení vlastněných objektů objektů služby
microsoft.directory/servicePrincipals/policies/read Čtení zásad pro objekty služby
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
Microsoft. Directory/uživatelé/standardní/číst Číst základní vlastnosti uživatelů
Microsoft. Directory/Users/appRoleAssignments/Read Čtení přiřazení rolí aplikace uživatelům
Microsoft. Directory/Users/directReports/Read Čtení přímých sestav pro uživatele
Microsoft. Directory/uživatelé/Správce/číst Správce čtení uživatelů
Microsoft. Directory/uživatelé/memberOf/číst Číst členství uživatelů ve skupině
Microsoft. Directory/Users/oAuth2PermissionGrants/Read Číst delegovaná oprávnění pro uživatele
Microsoft. Directory/Users/ownedDevices/Read Čtení zařízení vlastněných uživateli
Microsoft. Directory/Users/ownedObjects/Read Číst vlastněné objekty uživatelů
Microsoft. Directory/Users/registeredDevices/Read Čtení registrovaných zařízení uživatelů

Účty synchronizace adresářů

Nepoužívat. Tato role je automaticky přiřazena ke službě Azure AD Connect a není určena ani podporována pro jiné použití.

Akce Popis
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles pro všechny typy aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování pro všechny typy aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností aplikací
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace zveřejněných oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
Microsoft. Directory/Organization/dirSync/Update Aktualizovat vlastnost synchronizace adresáře organizace
Microsoft. Directory/policies/Create Vytvoření zásad ve službě Azure AD
Microsoft. Directory/policies/DELETE Odstranění zásad ve službě Azure AD
Microsoft. Directory/policies/Standard/Read Číst základní vlastnosti zásad
Microsoft. Directory/policies/Owners/Read Čtení vlastníků zásad
Microsoft. Directory/policies/policyAppliedTo/Read Číst zásady. vlastnost policyAppliedTo
Microsoft. Directory/policies/Basic/Update Aktualizace základních vlastností v zásadách
Microsoft. Directory/policies/Owners/Update Aktualizovat vlastníky zásad
Microsoft. Directory/policies/tenantDefault/Update Aktualizace výchozích zásad organizace
Microsoft. Directory/servicePrincipals/Create Vytvoření instančních objektů
Microsoft. Directory/servicePrincipals/DELETE Odstranění objektů služby
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání objektů služby
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů pro jednotné přihlašování hesel u objektů služby
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů pro jednotné přihlašování s heslem u objektů služby
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Čtení přiřazení rolí objektů služby
microsoft.directory/servicePrincipals/appRoleAssignments/read Čtení přiřazení rolí přiřazených k objektům služby
microsoft.directory/servicePrincipals/standard/read Čtení základních vlastností objektů služby
microsoft.directory/servicePrincipals/memberOf/read Čtení členství ve skupinách u objektů služby
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Oprávnění Číst delegovaná oprávnění u objektů služby
microsoft.directory/servicePrincipals/owners/read Čtení vlastníků objektů služby
Microsoft. Directory/servicePrincipals/ownedObjects/Read Číst vlastněné objekty instančních objektů
Microsoft. Directory/servicePrincipals/policies/Read Čtení zásad objektů služby
Microsoft. Directory/servicePrincipals/appRoleAssignedTo/Update Aktualizovat přiřazení rolí instančního objektu
Microsoft. Directory/servicePrincipals/publikum/Update Aktualizovat vlastnosti cílové skupiny u instančních objektů
Microsoft. Directory/servicePrincipals/Authentication/Update Aktualizovat vlastnosti ověřování u instančních objektů
Microsoft. Directory/servicePrincipals/Basic/Update Aktualizace základních vlastností u instančních objektů
Microsoft. Directory/servicePrincipals/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje objektů služby
Microsoft. Directory/servicePrincipals/Owners/Update Aktualizujte vlastníky instančních objektů.
Microsoft. Directory/servicePrincipals/oprávnění/aktualizace Aktualizovat oprávnění instančních objektů
Microsoft. Directory/servicePrincipals/policies/Update Aktualizovat zásady instančních objektů
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro objekty služby

Zapisovače adresářů

Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech. Tuto roli přiřaďte pouze aplikacím, které nepodporují rozhraní pro udělení souhlasu. Neměl by být přiřazen žádným uživatelům.

Akce Popis
microsoft.directory/groups/assignLicense Přiřazení licencí produktů ke skupinám pro licencování na základě skupin
microsoft.directory/groups/create Vytváření skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností u skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastnosti groupType pro skupinu
Microsoft. Directory/Groups/Members/Update Aktualizace členů skupin bez skupin s přiřazením rolí
Microsoft. Directory/Groups/onPremWriteBack/Update Aktualizace skupin Azure Active Directory pro zápis do místního prostředí s využitím Azure AD Connect
Microsoft. Directory/Groups/Owners/Update Aktualizace vlastníků skupin bez skupin s přiřazením rolí
Microsoft. Directory/Groups/Settings/Update Aktualizovat nastavení skupin
Microsoft. Directory/Groups/Visibility/Update Aktualizuje vlastnost viditelnost skupin.
Microsoft. Directory/groupSettings/Create Vytvoření nastavení skupin
Microsoft. Directory/groupSettings/DELETE Odstranění nastavení skupin
Microsoft. Directory/groupSettings/Basic/Update Aktualizovat základní vlastnosti pro nastavení skupiny
Microsoft. Directory/oAuth2PermissionGrants/Create Vytvoření udělení oprávnění OAuth 2,0
Microsoft. Directory/oAuth2PermissionGrants/Basic/Update Aktualizovat udělení oprávnění OAuth 2,0
Microsoft. Directory/servicePrincipals/synchronizationCredentials/Manage Správa tajných klíčů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení úloh synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytvoření a správa úloh a schématu synchronizace zřizování aplikací
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Udělení přímého přístupu instančního objektu k datům skupiny
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí objektů služby
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidání uživatelů
microsoft.directory/users/disable Zakázání uživatelů
microsoft.directory/users/enable Povolení uživatelů
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení platnosti tokenů aktualizace uživatele
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/basic/update Aktualizace základních vlastností u uživatelů
Microsoft. Directory/uživatelé/správce/aktualizace Správce aktualizací pro uživatele
Microsoft. Directory/uživatelé/userPrincipalName/Update Aktualizovat hlavní název uživatele uživatelů

Správce názvů domén

Uživatelé s touto rolí můžou spravovat názvy domén (čtení, přidávání, ověřování, aktualizace a odstraňování). Můžou také číst informace o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. Pro místní prostředí můžou uživatelé s touto rolí konfigurovat názvy domén pro federaci, aby se přidružení uživatelé vždycky místně ověřili místně. Tito uživatelé se pak mohou přihlašovat ke službám založeným na službě Azure AD s místními hesly prostřednictvím jednotného přihlašování. Nastavení federace je třeba synchronizovat prostřednictvím Azure AD Connect, takže uživatelé mají také oprávnění ke správě Azure AD Connect.

Akce Popis
Microsoft. Directory/domény/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby

Správce Dynamics 365

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 online, pokud je služba k dispozici, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v části použití role správce služby ke správě vaší organizace Azure AD.

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShell je tato role označená jako správce služeb Dynamics 365. Ve Azure Portalje to "Dynamics 365 Administrator".

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce Exchange

Uživatelé s touto rolí mají v rámci Microsoft Exchange Online globální oprávnění, pokud je služba k dispozici. Má také možnost vytvářet a spravovat všechny skupiny Microsoft 365, spravovat lístky podpory a monitorovat stav služeb. Další informace najdete v Microsoft 365 rolí správce.

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShellu je tato role identifikována jako "správce služby Exchange". Jedná se o správce systému Exchange v Azure Portal. Jedná se o správce Exchange Online v Centru pro správu Exchange.

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupiny
Microsoft. Directory/groups. Unified/Create Vytvoření skupin Microsoft 365 s vyloučením skupin s přiřazením rolí
Microsoft. Directory/groups. Unified/DELETE Odstranit skupiny Microsoft 365 s vyloučením skupin, které lze přiřadit rolím
Microsoft. Directory/groups. Unified/Restore Obnovit Microsoft 365 skupiny
Microsoft. Directory/groups. Unified/Basic/Update Aktualizace základních vlastností u Microsoft 365 skupin s vyloučením skupin, které lze přiřadit rolím
Microsoft. Directory/groups. Unified/Members/Update Aktualizace členů skupin Microsoft 365 s vyloučením skupin, které lze přiřadit rolím
Microsoft. Directory/groups. Unified/Owners/Update Aktualizace vlastníků skupin Microsoft 365 s vyloučením skupin, které lze přiřadit rolím
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. Exchange/allEntities/Basic/allTasks Správa všech aspektů Exchange Online
Microsoft. Office 365. Network/Performance/allProperties/Read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce příjemců Exchange

Uživatelé s touto rolí mají přístup pro čtení příjemcům a mají oprávnění k zápisu k atributům těchto příjemců v Systému Exchange Online. Další informace najdete na adrese Příjemci systému Exchange.

Akce Popis
microsoft.office365.exchange/allRecipients/allProperties/allTasks Vytvoření a odstranění všech příjemců a čtení a aktualizace všech vlastností příjemců v Exchange Online
microsoft.office365.exchange/messageTracking/allProperties/allTasks Správa všech úloh sledování zpráv v Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Správa všech úloh souvisejících s migrací příjemců v Exchange Online

Správce toku uživatele s externím ID

Uživatelé s touto rolí mohou vytvářet a spravovat toky uživatelů (nazývané také "předdefinové" zásady) v Azure Portal. Tito uživatelé mohou přizpůsobit obsah HTML/CSS/JavaScript, měnit požadavky MFA, vybírat deklarace identity v tokenu, spravovat konektory rozhraní API a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Azure AD. Na druhé straně tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury identity Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.

Akce Popis
Microsoft. Directory/b2cUserFlow/allProperties/allTasks Čtení a konfigurace atributů uživatele v Azure Active Directory B2C

Správce atributů toku uživatele externího ID

Uživatelé s touto rolí můžou přidávat nebo odstraňovat vlastní atributy dostupné všem uživatelským tokům v organizaci Azure AD. Uživatelé s touto rolí mohou například měnit nebo přidávat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo způsobit změny v tom, jaká data mohou být požádána o koncové uživatele a která jsou nakonec odeslána jako deklarace do aplikací. Tato role nemůže upravovat toky uživatelů.

Akce Popis
Microsoft. Directory/b2cUserAttribute/allProperties/allTasks Čtení a konfigurace vlastních zásad v Azure Active Directory B2C

Správce externích zprostředkovatelů identity

Tento správce spravuje federace mezi organizacemi Azure AD a externími zprostředkovateli identity. S touto rolí můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (například cestu pro ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Azure AD povolit, aby důvěřoval ověřování od externích zprostředkovatelů identity. Výsledný dopad na činnost koncového uživatele závisí na typu organizace:

  • Organizace Azure AD pro zaměstnance a partnery: Přidání federace (např. Gmail) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz téma Přidání Google jako zprostředkovatele identity pro uživatele typu Host B2B.
  • Azure Active Directory B2C organizace: Přidání federace (například s Facebookem nebo s jinou organizací Azure AD) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (říká se tomu také předdefinová zásada). Příklad najdete v účet Microsoft identity jako zprostředkovatele identity. Ke změně toků uživatelů se vyžaduje omezená role "Správce toku uživatelů B2C".
Akce Popis
microsoft.directory/identityProviders/allProperties/allTasks Čtení a konfigurace zprostředkovatelů identit v Azure Active Directory B2C

Globální správce

Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure Active Directory a také ke službám, které používají identity Azure Active Directory, jako jsou Centrum zabezpečení Microsoftu 365, Centrum dodržování předpisů Microsoftu 365, Exchange Online, SharePoint Online a Online Skype pro firmy. Globální správci navíc můžou zvýšit svůj přístup, aby mohli spravovat všechna předplatná Azure a skupiny pro správu. Globální správci tak můžou získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Azure AD. Osoba, která se do organizace Azure AD přihlásí, se stane globálním správcem. Ve vaší společnosti může být více než jeden globální správce. Globální správci můžou resetovat heslo libovolného uživatele a všech ostatních správců.

Poznámka

Jako osvědčený postup Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Další informace najdete v tématu Osvědčené postupy pro role Azure AD.

Akce Popis
microsoft.directory/access Zastupuje/allProperties/allTasks Vytvoření a odstranění recenzí přístupu a čtení a aktualizace všech vlastností recenzí přístupu v Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Vytváření a správa jednotek pro správu (včetně členů)
microsoft.directory/applications/allProperties/allTasks Vytváření a odstraňování aplikací a čtení a aktualizace všech vlastností
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidružených k objektu aplikace
Microsoft. Directory/applicationTemplates/instance Vytvoření instance aplikací galerie z šablon aplikací
Microsoft. Directory/appRoleAssignments/allProperties/allTasks Vytváření a odstraňování appRoleAssignments a čtení a aktualizace všech vlastností
Microsoft. Directory/auditLogs/allProperties/Read Načte všechny vlastnosti v protokolech auditu, včetně privilegovaných vlastností.
Microsoft. Directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
Microsoft. Directory/bitlockerKeys/Key/Read Číst metadata a klíč nástroje BitLocker na zařízeních
Microsoft. Directory/cloudAppSecurity/allProperties/allTasks Vytvořit a odstranit všechny prostředky a číst a aktualizovat standardní vlastnosti v Microsoft Cloud App Security
Microsoft. Directory/konektory/vytvořit Vytváření konektorů proxy aplikací
Microsoft. Directory/Connectors/allProperties/Read Načte všechny vlastnosti konektorů proxy aplikací.
Microsoft. Directory/connectorGroups/Create Vytvořit skupiny konektorů proxy aplikací
Microsoft. Directory/connectorGroups/DELETE Odstranění skupin konektoru proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektoru proxy aplikací
microsoft.directory/connectorGroups/allProperties/update Aktualizace všech vlastností skupin konektoru proxy aplikací
microsoft.directory/contacts/allProperties/allTasks Vytváření a odstraňování kontaktů a čtení a aktualizace všech vlastností
microsoft.directory/contracts/allProperties/allTasks Vytváření a odstraňování partnerských kontraktů a čtení a aktualizace všech vlastností
microsoft.directory/devices/allProperties/allTasks Vytváření a odstraňování zařízení a čtení a aktualizace všech vlastností
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností zásad aplikací pro správu zařízení
microsoft.directory/deviceManagementPolicies/basic/update Aktualizace základních vlastností zásad aplikací pro správu zařízení
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizace základních vlastností zásad registrace zařízení
microsoft.directory/directoryRoles/allProperties/allTasks Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností
Microsoft. Directory/directoryRoleTemplates/allProperties/allTasks Vytváření a odstraňování šablon rolí Azure AD a čtení a aktualizace všech vlastností
Microsoft. Directory/domény/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Microsoft. Directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností v Azure AD – Správa nároků
Microsoft. Directory/Groups/allProperties/allTasks Vytváření a odstraňování skupin a čtení a aktualizace všech vlastností
Microsoft. Directory/groupsAssignableToRoles/Create Vytváření skupin s možností přiřazení rolí
Microsoft. Directory/groupsAssignableToRoles/DELETE Odstranit roli – přiřaditelné skupiny
Microsoft. Directory/groupsAssignableToRoles/Restore Obnovit roli – přiřaditelné skupiny
Microsoft. Directory/groupsAssignableToRoles/allProperties/Update Aktualizace role – přiřaditelné skupiny
Microsoft. Directory/groupSettings/allProperties/allTasks Vytvoření a odstranění nastavení skupiny a čtení a aktualizace všech vlastností
Microsoft. Directory/groupSettingTemplates/allProperties/allTasks Vytvoření a odstranění šablon nastavení skupiny a čtení a aktualizace všech vlastností
microsoft.directory/identityProtection/allProperties/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
microsoft.directory/organization/allProperties/allTasks Vytváření a odstraňování organizací a čtení a aktualizace všech vlastností
microsoft.directory/policies/allProperties/allTasks Vytvoření a odstranění zásad a čtení a aktualizace všech vlastností
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Správa všech vlastností zásad podmíněného přístupu
microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků v Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/roleAssignments/allProperties/allTasks Vytvoření a odstranění přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
Microsoft. Directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování scopedRoleMemberships a čtení a aktualizace všech vlastností
Microsoft. Directory/serviceAction/activateService Může pro službu provést akci "aktivovat službu".
Microsoft. Directory/serviceAction/disableDirectoryFeature Může provést akci služby zakázat funkci adresáře.
Microsoft. Directory/serviceAction/enableDirectoryFeature Může provést akci služby povolit funkci adresáře.
Microsoft. Directory/serviceAction/getAvailableExtentionProperties Může provádět akci služby getAvailableExtentionProperties.
Microsoft. Directory/servicePrincipals/allProperties/allTasks Vytváření a odstraňování objektů služby a čtení a aktualizace všech vlastností
Microsoft. Directory/servicePrincipals/managePermissionGrantsForAll. Microsoft-Company-Admin Udělení souhlasu pro všechna oprávnění k jakékoli aplikaci
Microsoft. Directory/servicePrincipals/managePermissionGrantsForGroup. Microsoft-All-Application-Permissions Udělení instančního objektu s přímým přístupem k datům skupiny
Microsoft. Directory/servicePrincipals/Synchronization/Standard/Read Čtení nastavení zřizování přidružených k vašemu instančnímu objektu
Microsoft. Directory/signInReports/allProperties/Read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/subscribedSkus/allProperties/allTasks Nákup a správa předplatných a odstraňování předplatných
microsoft.directory/users/allProperties/allTasks Vytváření a odstraňování uživatelů a čtení a aktualizace všech vlastností
microsoft.directory/permissionGrantPolicies/create Vytvoření zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/delete Odstranění zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/basic/update Aktualizace základních vlastností zásad udělení oprávnění
microsoft.directory/servicePrincipalCreationPolicies/create Vytvoření zásad vytváření objektů služby
microsoft.directory/servicePrincipalCreationPolicies/delete Odstranění zásad vytváření objektů služby
microsoft.directory/servicePrincipalCreationPolicies/standard/read Čtení standardních vlastností zásad vytváření objektů služby
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualizuje základní vlastnosti zásad pro vytvoření instančního objektu.
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/Card/allProperties/Read Přečíst ověřitelný přihlašovací kartu
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/Card/REVOKE Odvolání ověřitelné karty pověření
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/Create Vytvoření ověřitelného kontraktu přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/allProperties/Read Čtení ověřitelných kontraktů pověření
Microsoft. Directory/verifiableCredentials/Configuration/Contracts/allProperties/Update Aktualizace ověřitelného kontraktu přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/Create Vytvořit konfiguraci nutnou k vytvoření a správě ověřitelných přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/DELETE Odstraňte konfiguraci nutnou k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech svých ověřitelných přihlašovacích údajů.
Microsoft. Directory/verifiableCredentials/Configuration/allProperties/Read Čtení konfigurace nutná k vytváření a správě ověřitelných přihlašovacích údajů
Microsoft. Directory/verifiableCredentials/Configuration/allProperties/Update Konfigurace aktualizace potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
Microsoft. Azure. advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.commerce.billing/allEntities/allTasks Správa všech aspektů fakturace Office 365
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.flow/allEntities/allTasks Správa všech aspektů služby Microsoft Power Automate
microsoft.intune/allEntities/allTasks Správa všech aspektů Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Správa všech aspektů Exchange Online
Microsoft. Office 365. Knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v centru pro správu Microsoft 365
Microsoft. Office 365. knowledgeing/contentUnderstanding/Analytics/allProperties/Read Přehled analytických sestav o porozumění obsahu v centru pro správu Microsoft 365
Microsoft. Office 365. Knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v centru pro správu Microsoft 365
Microsoft. Office 365. Knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti znalostní sítě v centru pro správu Microsoft 365
Microsoft. Office 365. Knowledge/learningSources/allProperties/allTasks Spravujte zdroje učení a všechny jejich vlastnosti v aplikaci Learning.
Microsoft. Office 365. bezpečnostní modul/allEntities/allTasks Umožňuje spravovat všechny aspekty Customer Lockbox.
Microsoft. Office 365. messageCenter/Messages/Read Čtení zpráv v centru zpráv v centru pro správu Microsoft 365 s výjimkou zpráv zabezpečení
Microsoft. Office 365. messageCenter/securityMessages/Read Čtení zpráv zabezpečení v centru zpráv v centru pro správu Microsoft 365
Microsoft. Office 365. Network/Performance/allProperties/Read Čtení všech vlastností výkonu sítě v centru pro správu Microsoft 365
Microsoft. Office 365. protectionCenter/allEntities/allProperties/allTasks Správa všech aspektů center zabezpečení a dodržování předpisů
microsoft.office365.search/content/manage Vytvoření a odstranění obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v centru Microsoft 365 Security and Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Online Skypu pro firmy
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps
Microsoft. powerApps. powerBI/allEntities/allTasks Umožňuje spravovat všechny aspekty Power BI.
Microsoft. Windows. defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů programu Microsoft Defender pro koncový bod

Globální čtenář

Uživatelé v této roli můžou číst nastavení a informace pro správu napříč Microsoft 365 službami, ale nemůžou provádět akce správy. Globální čtenář je protistranou, která je jen pro čtení, globální správce. Přiřaďte globální čtenáře místo globálního správce pro plánování, audity nebo vyšetřování. Pomocí globálního čtecího zařízení v kombinaci s jinými omezenými rolemi správců, jako je třeba správce Exchange, můžete usnadnit práci bez přiřazení role globálního správce. Globální čtečka spolupracuje s centrem pro správu Microsoft 365, centrem pro správu serveru Exchange, centrem pro správu SharePointu, centrem pro správu týmů, centrem zabezpečení, centrem dodržování předpisů, centrem pro správu Azure AD a centrem pro správu správy zařízení.

Poznámka

Role globálního čtecího modulu teď má v současné době několik omezení –

Tyto funkce jsou momentálně ve vývoji.

Akce Popis
microsoft.directory/applications/applicationProxy/read Čtení všech vlastností proxy aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidružených k objektu aplikace
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/bitlockerKeys/key/read Čtení metadat a klíče nástroje BitLocker na zařízeních
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektoru proxy aplikací
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností zásad aplikací pro správu zařízení
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupiny
Microsoft. Directory/Organization/strongAuthentication/Read Přečtěte si vlastnost silného ověřování pro organizaci.
Microsoft. Directory/policies/Standard/Read Číst základní vlastnosti zásad
Microsoft. Directory/policies/Owners/Read Čtení vlastníků zásad
Microsoft. Directory/policies/policyAppliedTo/Read Číst zásady. vlastnost policyAppliedTo
Microsoft. Directory/conditionalAccessPolicies/Standard/Read Číst podmíněný přístup pro zásady
Microsoft. Directory/conditionalAccessPolicies/Owners/Read Přečtěte si vlastníky zásad podmíněného přístupu.
Microsoft. Directory/conditionalAccessPolicies/policyAppliedTo/Read Přečtěte si vlastnost "použito na" pro zásady podmíněného přístupu.
Microsoft. Directory/provisioningLogs/allProperties/Read Načte všechny vlastnosti protokolů zřizování.
Microsoft. Directory/servicePrincipals/Authentication/Read Číst vlastnosti ověřování u instančních objektů
Microsoft. Directory/servicePrincipals/Synchronization/Standard/Read Čtení nastavení zřizování přidružených k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/users/strongAuthentication/read Čtení vlastnosti silného ověřování pro uživatele
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty s přihlašovacími údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení požadovaná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.commerce.billing/allEntities/read Čtení všech prostředků fakturace Office 365
microsoft.office365.exchange/allEntities/standard/read Čtení všech prostředků Exchange Online
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centrum zpráv ve Centrum pro správu Microsoftu 365, s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centrum zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
Microsoft. Office 365. protectionCenter/allEntities/allProperties/Read Čtení všech vlastností v centrech zabezpečení a dodržování předpisů
Microsoft. Office 365. securityComplianceCenter/allEntities/Read Číst standardní vlastnosti v Microsoft 365 zabezpečení a centrum dodržování předpisů
Microsoft. Office 365. usageReports/allEntities/allProperties/Read Čtení sestav využití Office 365
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce skupin

Uživatelé v této roli můžou vytvářet a spravovat skupiny a její nastavení, jako jsou zásady pro pojmenování a vypršení platnosti. Je důležité pochopit, že přiřazení uživatele k této roli dává možnost spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou týmy, SharePoint, Yammer kromě Outlooku. Uživatel bude také moci spravovat různá nastavení skupin na různých portálech pro správu, jako je například centrum pro správu Microsoft, Azure Portal a také konkrétní úlohy, jako jsou týmy a centra pro správu služby SharePoint.

Akce Popis
Microsoft. Directory/Groups/assignLicense Přiřazení licencí k produktu skupinám pro licencování na základě skupin
Microsoft. Directory/Groups/Create Vytváření skupin s vyloučením skupin s přiřazením rolí
Microsoft. Directory/Groups/DELETE Odstranit skupiny s výjimkou skupiny přiřazení role
Microsoft. Directory/Groups/hiddenMembers/Read Čtení skrytých členů skupiny
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení odstraněných skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností u skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastnosti groupType pro skupinu
microsoft.directory/groups/members/update Aktualizace členů skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizujte Azure Active Directory skupiny tak, aby se zapisly zpět do místního prostředí pomocí Azure AD Connect
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizuje vlastnost viditelnost skupin.
Microsoft. Directory/servicePrincipals/managePermissionGrantsForGroup. Microsoft-All-Application-Permissions Udělení instančního objektu s přímým přístupem k datům skupiny
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Pozvánka hosta

Uživatelé v této roli můžou spravovat Azure Active Directory pozvání uživatele hosta B2B, když můžou členové pozvat uživatele na hodnotu ne. Další informace o spolupráci B2B v rámci spolupráce B2B v Azure AD. Nezahrnuje žádná další oprávnění.

Akce Popis
Microsoft. Directory/Users/inviteGuest Pozvání uživatelů typu host
Microsoft. Directory/uživatelé/standardní/číst Číst základní vlastnosti uživatelů
microsoft.directory/users/appRoleAssignments/read Čtení přiřazení rolí aplikace pro uživatele
microsoft.directory/users/directReports/read Čtení přímých sestav pro uživatele
microsoft.directory/users/manager/read Read manager of users
microsoft.directory/users/memberOf/read Čtení členství uživatelů ve skupinách
microsoft.directory/users/oAuth2PermissionGrants/read Oprávnění Číst delegovaná oprávnění udělovaná uživatelům
microsoft.directory/users/ownedDevices/read Čtení vlastněných zařízení uživatelů
microsoft.directory/users/ownedObjects/read Čtení vlastněných objektů uživatelů
microsoft.directory/users/registeredDevices/read Čtení registrovaných zařízení uživatelů

Správce helpdesku

Uživatelé s touto rolí mohou měnit hesla, zneplatnět obnovovací tokeny, spravovat žádosti o služby a sledovat stav služeb. Při zneplatnění obnovovacího tokenu se uživatel znovu přihlásí. To, jestli může správce helpdesku resetovat heslo uživatele a zneplatní tokeny aktualizace, závisí na roli, kterou má uživatel přiřazený. Seznam rolí, u kterých správce helpdesku může resetovat hesla pro a zrušit platnost obnovovacích tokenů, najdete v tématu oprávnění k resetování hesla.

Důležité

Uživatelé s touto rolí můžou měnit hesla pro lidi, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř i mimo Azure Active Directory. Změna hesla uživatele může znamenat možnost předpokládat identitu a oprávnění tohoto uživatele. Například:

  • Registrace aplikace a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění ve službě Azure AD a jinde nejsou udělená správcům helpdesku. Prostřednictvím této cesty může správce helpdesku předpokládat identitu vlastníka aplikace a následně převzít identitu privilegované aplikace tím, že aktualizuje přihlašovací údaje pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupina zabezpečení a Microsoft 365 vlastníci skupiny, kteří mohou spravovat členství ve skupině. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure AD a jinde.
  • Správci v jiných službách mimo Azure AD, jako je Exchange Online, Centrum zabezpečení a dodržování předpisů pro Office a systémy lidských zdrojů.
  • Nesprávci jako vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.

Delegování oprávnění pro správu pro podmnožiny uživatelů a používání zásad u podmnožiny uživatelů je možné s jednotkami pro správu.

Tato role se dřív nazývala "správce hesel" ve Azure Portal. Název "správce helpdesku" ve službě Azure AD se teď shoduje s názvem v Azure AD PowerShellu a rozhraním Microsoft Graph API.

Akce Popis
Microsoft. Directory/bitlockerKeys/Key/Read Číst metadata a klíč nástroje BitLocker na zařízeních
Microsoft. Directory/Users/invalidateAllRefreshTokens Vynutit odhlášení pomocí neověřování tokenů aktualizace uživatelů
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce hybridních identit

Uživatelé v této roli mohou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z AD do Azure AD pomocí zřizování cloudu a také spravovat nastavení Azure AD Connect a federace. Uživatelé mohou také řešit potíže s protokoly a monitorovat je pomocí této role.

Akce Popis
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/appRoles/update Aktualizuje vlastnost appRoles u všech typů aplikací.
Microsoft. Directory/Applications/publikum/Update Aktualizace vlastnosti cílové skupiny pro aplikace
Microsoft. Directory/Applications/Authentication/Update Aktualizovat ověřování u všech typů aplikací
Microsoft. Directory/Applications/Basic/Update Aktualizace základních vlastností pro aplikace
Microsoft. Directory/aplikace/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje aplikace
Microsoft. Directory/aplikace/vlastníci/aktualizace Aktualizovat vlastníky aplikací
Microsoft. Directory/aplikace/oprávnění/aktualizace Aktualizovat vystavená oprávnění a požadovaná oprávnění pro všechny typy aplikací
Microsoft. Directory/aplikace/zásady/aktualizace Aktualizovat zásady aplikací
Microsoft. Directory/aplikace/synchronizace/standardní/číst Čtení nastavení zřizování přidružených k objektu aplikace
Microsoft. Directory/applicationTemplates/instance Vytvoření instance aplikací galerie z šablon aplikací
Microsoft. Directory/auditLogs/allProperties/Read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/cloudProvisioning/allProperties/allTasks Přečtěte si a nakonfigurujte všechny vlastnosti služby Azure AD Cloud Provisioning.
microsoft.directory/domains/allProperties/read Čtení všech vlastností domén
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
microsoft.directory/organization/dirSync/update Aktualizace vlastnosti synchronizace adresáře organizace
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění objektů služby
microsoft.directory/servicePrincipals/disable Zakázání objektů služby
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace – zřizování aplikací.
Microsoft. Directory/servicePrincipals/synchronizationSchema/Manage Vytváření a Správa synchronizace – úloh a schémat pro zřizování aplikací
Microsoft. Directory/servicePrincipals/publikum/Update Aktualizovat vlastnosti cílové skupiny u instančních objektů
Microsoft. Directory/servicePrincipals/Authentication/Update Aktualizovat vlastnosti ověřování u instančních objektů
Microsoft. Directory/servicePrincipals/Basic/Update Aktualizace základních vlastností u instančních objektů
Microsoft. Directory/servicePrincipals/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje objektů služby
Microsoft. Directory/servicePrincipals/Owners/Update Aktualizujte vlastníky instančních objektů.
Microsoft. Directory/servicePrincipals/oprávnění/aktualizace Aktualizovat oprávnění instančních objektů
Microsoft. Directory/servicePrincipals/policies/Update Aktualizovat zásady instančních objektů
Microsoft. Directory/servicePrincipals/tag/Update Aktualizace vlastnosti značky pro instanční objekty
Microsoft. Directory/servicePrincipals/Synchronization/Standard/Read Čtení nastavení zřizování přidružených k vašemu objektu služby
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centrum zpráv ve Centrum pro správu Microsoftu 365, s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce zásad správného řízení identit

Uživatelé s touto rolí mohou spravovat konfiguraci zásad správného řízení identit Azure AD, včetně přístupových balíčků, recenzí přístupu, katalogů a zásad, aby se zajistilo schválení a kontrola přístupu a odebrání uživatelů typu host, kteří už přístup nepotřebuje.

Akce Popis
microsoft.directory/access Zastupuje/allProperties/allTasks Vytvoření a odstranění recenzí přístupu a čtení a aktualizace všech vlastností recenzí přístupu v Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností v Azure AD – Správa nároků
Microsoft. Directory/Groups/Members/Update Aktualizace členů skupin bez skupin s přiřazením rolí
Microsoft. Directory/servicePrincipals/appRoleAssignedTo/Update Aktualizovat přiřazení rolí instančního objektu

Správce Insights

Uživatelé v této roli mají přístup k plné sadě možností správy v aplikaci M365 Insights. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení pro správu Insights.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Insights/allEntities/allTasks Správa všech aspektů aplikace Insights
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Insights Business Leader

Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Přehledy M365. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce pro zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což zodpovídá role správce Insights.

Akce Popis
microsoft.insights/reports/read Zobrazení sestav a řídicího panelu v aplikaci Přehledy
microsoft.insights/programs/update Nasazení a správa programů v aplikaci Insights

Správce Intune

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Intune Online, pokud je služba k dispozici. Tato role navíc obsahuje možnost spravovat uživatele a zařízení za účelem přidružení zásad a také vytváření a správy skupin. Další informace najdete v řízení správy na základě role (RBAC) s Microsoft Intune.

Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Správce Intune ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky nebo členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří, což je součástí jeho oprávnění koncových uživatelů. Všechny skupiny Office (ne skupiny zabezpečení), které vytvoří, by se tedy měly započítávat do kvóty 250.

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShellu je tato role identifikována jako "správce služby Intune". Je to správce Intune v Azure Portal.

Akce Popis
microsoft.directory/bitlockerKeys/key/read Číst metadata a klíč nástroje BitLocker na zařízeních
Microsoft. Directory/Contacts/Create Vytvoření kontaktů
Microsoft. Directory/Contacts/DELETE Odstranit kontakty
Microsoft. Directory/Contacts/Basic/Update Aktualizace základních vlastností u kontaktů
Microsoft. Directory/Devices/Create Vytváření zařízení (registrace ve službě Azure AD)
Microsoft. Directory/Devices/DELETE Odstranění zařízení ze služby Azure AD
Microsoft. Directory/Devices/Disable Zakázat zařízení ve službě Azure AD
Microsoft. Directory/Devices/Enable Povolení zařízení ve službě Azure AD
Microsoft. Directory/Devices/Basic/Update Aktualizace základních vlastností na zařízeních
Microsoft. Directory/Devices/extensionAttributes/Update Aktualizuje všechny hodnoty pro vlastnost Devices. extensionAttributes.
Microsoft. Directory/Devices/registeredOwners/Update Aktualizace registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/update Aktualizace registrovaných uživatelů zařízení
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností zásad aplikací pro správu zařízení
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupiny
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností u skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/classification/update Aktualizace vlastnosti klasifikace skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s vyloučením skupin pro přiřazení rolí
Microsoft. Directory/groups. Security/Owners/Update Aktualizace vlastníků skupin zabezpečení s vyloučením skupin s přiřazením rolí
Microsoft. Directory/groups. Security/Visibility/Update Aktualizovat vlastnost Visibility skupin zabezpečení s vyloučením skupin, které je možné přiřadit k rolím
Microsoft. Directory/uživatelé/Basic/Update Aktualizace základních vlastností u uživatelů
Microsoft. Directory/uživatelé/správce/aktualizace Správce aktualizací pro uživatele
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Intune/allEntities/allTasks Umožňuje spravovat všechny aspekty Microsoft Intune.
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce Kaizala

Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsoft Kaizala, kdy je služba k dispozici, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho může uživatel získat přístup k sestavám souvisejícím s přijetím & používání Kaizala podle členů organizace a obchodních sestav vytvořených pomocí akcí Kaizala.

Akce Popis
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce znalostí

Uživatelé v této roli mají úplný přístup ke všem nastavením znalostí, učení a inteligentních funkcí v Centrum pro správu Microsoftu 365. Obecně chápou sadu produktů, podrobnosti o licencování a zodpovídá za řízení přístupu. Správce znalostí může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Tito uživatelé mohou navíc vytvářet centra obsahu, monitorovat stav služeb a vytvářet žádosti o služby.

Akce Popis
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvoření skupin zabezpečení s vyloučením skupin s možností přiřazení rolí a přidání tvůrce jako prvního vlastníka
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností u skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s vyloučením skupin pro přiřazení rolí
Microsoft. Directory/groups. Security/Owners/Update Aktualizace vlastníků skupin zabezpečení s vyloučením skupin s přiřazením rolí
Microsoft. Office 365. Knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v centru pro správu Microsoft 365
Microsoft. Office 365. Knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v centru pro správu Microsoft 365
Microsoft. Office 365. Knowledge/learningSources/allProperties/allTasks Spravujte zdroje učení a všechny jejich vlastnosti v aplikaci Learning.
Microsoft. Office 365. protectionCenter/sensitivityLabels/allProperties/Read Načte všechny vlastnosti popisků citlivosti v centrech zabezpečení a dodržování předpisů.
Microsoft. Office 365. sharePoint/allEntities/allTasks Vytvářet a odstraňovat všechny prostředky a číst a aktualizovat standardní vlastnosti v SharePointu
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce znalostní báze

Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, akronymy a výukový obsah. Tito uživatelé jsou primárně odpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu prodejně a vytvářet centra obsahu.

Akce Popis
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvoření skupin zabezpečení s vyloučením skupin s možností přiřazení rolí a přidání tvůrce jako prvního vlastníka
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností u skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s vyloučením skupin s možností přiřazení rolí
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti témat znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce licencí

Uživatelé v této roli můžou přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění používání u uživatelů. Role neuděluje možnost kupovat ani spravovat odběry, vytvářet a spravovat skupiny ani vytvářet ani spravovat uživatele nad rámec tohoto místa použití. Tato role nemá přístup k zobrazení, vytvoření nebo správě lístků podpory.

Akce Popis
Microsoft. Directory/Groups/assignLicense Přiřazení licencí k produktu skupinám pro licencování na základě skupin
Microsoft. Directory/Groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
Microsoft. Directory/Users/assignLicense Správa uživatelských licencí
Microsoft. Directory/Users/reprocessLicenseAssignment Znovu zpracovat přiřazení licencí pro uživatele
Microsoft. Directory/Users/usageLocation/Update Aktualizovat umístění uživatelů při použití
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Centrum zpráv ochrany osobních údajů

Uživatelé v této roli mohou monitorovat všechna oznámení v Centrum zpráv, včetně zpráv o ochraně osobních údajů dat. Centrum zpráv ochrana osobních údajů Čtenáři obdrží e-mailová oznámení, včetně oznámení týkajících se ochrany osobních údajů v datech, a mohou se odhlásit pomocí Centrum zpráv předvolby. Zprávy o ochraně osobních údajů v datech může číst jenom Centrum zpráv globální správce a čtenář ochrany osobních údajů. Tato role navíc obsahuje možnost zobrazit skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centrum zpráv ve Centrum pro správu Microsoftu 365, s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centrum zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Centrum zpráv čtečky

Uživatelé v této roli mohou monitorovat oznámení a rady k aktualizacím stavu v Centru zpráv pro svoji organizaci u nakonfigurovaných služeb, jako je Exchange, Intune a Microsoft Teams. Centrum zpráv Čtenáři dostávají týdenní e-mailové přehledy příspěvků, aktualizací a mohou sdílet příspěvky v centru zpráv v Microsoft 365. Ve službě Azure AD budou mít uživatelé přiřazení k této roli přístup jen pro čtení ve službách Azure AD, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytvoření nebo správě lístků podpory.

Akce Popis
Microsoft. Office 365. messageCenter/Messages/Read Čtení zpráv v centru zpráv v centru pro správu Microsoft 365 s výjimkou zpráv zabezpečení
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Moderní uživatel pro obchodování

Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jiné použití. Níže najdete podrobnosti.

Role uživatele moderního obchodování poskytuje určitým uživatelům oprávnění k přístupu k centru pro správu Microsoft 365 a zobrazení levého navigačního panelu pro domovskou stránku, fakturaci a podporu. Obsah, který je dostupný v těchto oblastech, se řídí rolemi specifickými pro obchod , které jsou přiřazené uživatelům pro správu produktů, které si koupili pro sebe nebo vaši organizaci. To může zahrnovat úkoly, jako jsou platby za účty, nebo přístup k fakturačním účtům a profilům fakturace.

Uživatelé s uživatelskou rolí moderního obchodování mají obvykle oprávnění správce v dalších nákupních systémech Microsoftu, ale nemají role globálního správce nebo správce fakturace používané pro přístup do centra pro správu.

Kdy je role uživatele moderního obchodování přiřazená?

  • Nákup samoobslužných služeb v centru pro správu Microsoft 365 – nákup samoobslužných služeb dává uživatelům možnost vyzkoušet si nové produkty, a to tak, že si je zakoupí nebo zaregistrují sami. Tyto produkty se spravují v centru pro správu. Uživatelům, kteří si zakoupí samoobslužné služby, se přiřadí role v systému pro obchodování a moderní obchodní role, aby mohli spravovat své nákupy v centru pro správu. Správci můžou blokovat nákupy samoobslužných služeb (pro Power BI, Power Apps, Power Automate) prostřednictvím PowerShellu. Další informace najdete v nejčastějších dotazech k samoobslužnému nákupu.
  • Nákupy od komerčního tržiště Microsoftu – podobně jako při nákupu samoobslužných služeb, když uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se moderní obchodní role uživatele, pokud nemají roli globálního správce nebo správce fakturace. V některých případech může být uživatelům zablokováno provádění těchto nákupů. Další informace najdete na webu Komerční marketplace Microsoftu.
  • Návrhy Od Microsoftu – Formální nabídka Microsoftu pro vaši organizaci na nákup produktů a služeb Microsoftu. Pokud osoba, která návrh přijme, nemá v Azure AD roli globálního správce ani správce fakturace, má přiřazenou roli specifickou pro obchodování, která dokončí návrh, i roli moderního komerčního uživatele pro přístup k centru pro správu. Když přistupují k centru pro správu, mohou používat jenom funkce, které jsou autorizované rolí konkrétního obchodu.
  • Role specifické pro obchodování – některým uživatelům jsou přiřazeny role specifické pro obchodování. Pokud uživatel není globálním správcem nebo správcem fakturace, získá roli moderního komerčního uživatele, aby mohl přistupovat k centru pro správu.

Pokud uživatel nepřiřazený k roli moderního komerčního uživatele, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud by spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, platby faktur nebo jiné úkoly související se správou předplatných.

Akce Popis
microsoft.commerce.billing/partners/read Přečtěte si vlastnost partnera pro Microsoft 365 fakturace.
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Správa všech aspektů centra Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/basic/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce sítě

Uživatelé v této roli mohou zkontrolovat doporučení microsoftu k architektuře hraniční sítě, která jsou založená na telemetrii sítě z umístění uživatelů. Výkon sítě pro Microsoft 365 spoléhá na pečlivou architekturu hraniční sítě zákazníka v podniku, která je obecně specifická pro konkrétní uživatelské umístění. Tato role umožňuje upravovat zjištěná umístění uživatelů a konfiguraci síťových parametrů pro tato umístění, aby se usnadnila Vylepšená měření telemetrie a doporučení pro návrh.

Akce Popis
Microsoft. Office 365. Network/Locations/allProperties/allTasks Správa všech aspektů síťových umístění
Microsoft. Office 365. Network/Performance/allProperties/Read Čtení všech vlastností výkonu sítě v centru pro správu Microsoft 365
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce aplikací Office

Uživatelé v této roli můžou spravovat nastavení cloudu pro Microsoft 365 aplikace. To zahrnuje správu zásad cloudu, samoobslužné správy stahování a možnosti Zobrazit sestavu související s aplikacemi Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli můžou také spravovat komunikaci s novými funkcemi v aplikacích Office.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. messageCenter/Messages/Read Čtení zpráv v centru zpráv v centru pro správu Microsoft 365 s výjimkou zpráv zabezpečení
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Partner Tier1 Support

Nepoužívat. Tato role je zastaralá a v budoucnu se z Azure AD odebere. Tato role je určená pro použití malým počtem partnerů Microsoftu určených pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatní obnovovací tokeny jenom pro uživatele, kteří nejsou správci. Tato role by se neměla používat, protože je zastaralá a v rozhraní API už nebude vrácena.

Akce Popis
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles pro všechny typy aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování pro všechny typy aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností aplikací
Microsoft. Directory/aplikace/přihlašovací údaje/aktualizace Aktualizovat přihlašovací údaje aplikace
Microsoft. Directory/aplikace/vlastníci/aktualizace Aktualizovat vlastníky aplikací
Microsoft. Directory/aplikace/oprávnění/aktualizace Aktualizovat vystavená oprávnění a požadovaná oprávnění pro všechny typy aplikací
Microsoft. Directory/aplikace/zásady/aktualizace Aktualizovat zásady aplikací
Microsoft. Directory/Contacts/Create Vytvoření kontaktů
Microsoft. Directory/Contacts/DELETE Odstranit kontakty
Microsoft. Directory/Contacts/Basic/Update Aktualizace základních vlastností u kontaktů
Microsoft. Directory/Groups/Create Vytváření skupin s vyloučením skupin s přiřazením rolí
Microsoft. Directory/Groups/DELETE Odstranit skupiny s výjimkou skupiny přiřazení role
Microsoft. Directory/skupiny/obnovení Obnovení odstraněných skupin
Microsoft. Directory/Groups/Members/Update Aktualizace členů skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí objektů služby
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidání uživatelů
microsoft.directory/users/delete Odstranění uživatelů
microsoft.directory/users/disable Zakázání uživatelů
microsoft.directory/users/enable Povolení uživatelů
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení platnosti tokenů aktualizace uživatele
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností u uživatelů
Microsoft. Directory/uživatelé/správce/aktualizace Správce aktualizací pro uživatele
Microsoft. Directory/uživatelé/heslo/aktualizace Resetovat hesla pro všechny uživatele
Microsoft. Directory/uživatelé/userPrincipalName/Update Aktualizovat hlavní název uživatele uživatelů
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Podpora partnerů 2

Nepoužívat. Tato role se už nepoužívá a v budoucnu se odebere z Azure AD. Tato role je určená pro použití malým počtem partnerů Microsoftu pro prodej a není určená pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatní obnovovací tokeny pro všechny uživatele bez oprávnění správce a správce (včetně globálních správců). Tato role by se neměla používat, protože je zastaralá a v rozhraní API už nebude vrácena.

Akce Popis
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles pro všechny typy aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování pro všechny typy aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností aplikací
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace zveřejněných oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/contacts/create Vytvoření kontaktů
Microsoft. Directory/Contacts/DELETE Odstranit kontakty
Microsoft. Directory/Contacts/Basic/Update Aktualizace základních vlastností u kontaktů
Microsoft. Directory/domény/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Microsoft. Directory/Groups/Create Vytváření skupin s vyloučením skupin s přiřazením rolí
Microsoft. Directory/Groups/DELETE Odstranit skupiny s výjimkou skupiny přiřazení role
Microsoft. Directory/skupiny/obnovení Obnovení odstraněných skupin
Microsoft. Directory/Groups/Members/Update Aktualizace členů skupin bez skupin s přiřazením rolí
Microsoft. Directory/Groups/Owners/Update Aktualizace vlastníků skupin bez skupin s přiřazením rolí
Microsoft. Directory/oAuth2PermissionGrants/allProperties/allTasks Umožňuje vytvářet a odstraňovat oprávnění OAuth 2,0 a číst a aktualizovat všechny vlastnosti.
Microsoft. Directory/Organization/Basic/Update Aktualizace základních vlastností v organizaci
Microsoft. Directory/roleAssignments/allProperties/allTasks Vytvoření a odstranění přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytvoření a odstranění definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytvoření a odstranění scopedRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí objektů služby
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidání uživatelů
microsoft.directory/users/delete Odstranění uživatelů
microsoft.directory/users/disable Zakázání uživatelů
microsoft.directory/users/enable Povolení uživatelů
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení platnosti tokenů aktualizace uživatele
microsoft.directory/users/restore Obnovit odstraněné uživatele
Microsoft. Directory/uživatelé/Basic/Update Aktualizace základních vlastností u uživatelů
Microsoft. Directory/uživatelé/správce/aktualizace Správce aktualizací pro uživatele
Microsoft. Directory/uživatelé/heslo/aktualizace Resetovat hesla pro všechny uživatele
Microsoft. Directory/uživatelé/userPrincipalName/Update Aktualizovat hlavní název uživatele uživatelů
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce hesel

Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. To, jestli může správce hesel resetovat heslo uživatele, závisí na roli, kterou má uživatel přiřazený. Seznam rolí, pro které může správce hesel resetovat hesla, najdete v tématu Oprávnění k resetování hesel.

Akce Popis
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Power BI správce

Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Power BI, když je služba k dispozici, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Vysvětlení role Power BI správce.

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role identifikovala jako "Power BI správce služeb". Je to Power BI správce na Azure Portal.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.
Microsoft. powerApps. powerBI/allEntities/allTasks Umožňuje spravovat všechny aspekty Power BI.

Správce Power Platform

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty prostředí, PowerApps, toků a zásady ochrany před únikem informací. Kromě toho uživatelé s touto rolí mají možnost spravovat lístky podpory a monitorovat stav služby.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
Microsoft. Flow/allEntities/allTasks Správa všech aspektů Microsoft Power automatizuje
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps

Správce tiskárny

Uživatelé v této roli mohou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Univerzální tisk, včetně nastavení konektoru Univerzální tisk Connector. Mohou udělit souhlas se všemi žádostmi o delegovaná oprávnění k tisku. Správci tiskáren mají také přístup k tisku sestav.

Akce Popis
microsoft.azure.print/allEntities/allProperties/allTasks Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v Microsoft Print

Technik tiskárny

Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Univerzální tisk. Mohou také číst všechny informace o konektoru. Klíčovým úkolem, který technik tiskárny nemůže provést, je nastavení uživatelských oprávnění k tiskárnám a sdílení tiskáren.

Akce Popis
microsoft.azure.print/connectors/allProperties/read Čtení všech vlastností konektorů v Microsoft Print
microsoft.azure.print/printers/allProperties/read Čtení všech vlastností tiskáren v programu Microsoft Print
microsoft.azure.print/printers/register Registrace tiskáren v Microsoft Print
Microsoft. Azure. tisk/tiskárny/zrušit registraci Zrušení registrace tiskáren v Microsoft tisku
Microsoft. Azure. tisk/tiskárny/Basic/Update Aktualizace základních vlastností tiskáren v Microsoft Print

Správce privilegovaného ověřování

Uživatelé s touto rolí můžou nastavit nebo resetovat jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních správců. Správci privilegovaného ověřování můžou vynutit, aby uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO) a odvolali si MFA na zařízení. při příštím přihlášení všech uživatelů se zobrazí dotaz na MFA.

Role Správce ověřování má oprávnění k vynucení opětovné registrace a ověřování službou Multi-Factor Authentication pro standardní uživatele a uživatele s některými rolemi správce.

Role správce zásad ověřování má oprávnění k nastavení zásad ověřování klienta, které určuje, které metody může každý uživatel registrovat a používat.

Role Umožňuje spravovat metody ověřování uživatele. Správa MFA pro jednotlivé uživatele Správa nastavení vícefaktorového ověřování Správa zásad metod ověřování Spravovat zásady ochrany heslem
Správce ověřování Ano pro některé uživatele (viz výše) Ano pro některé uživatele (viz výše) No No No
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No
Správce zásad ověřování No No Yes Yes Yes

Důležité

Uživatelé s touto rolí mohou měnit přihlašovací údaje pro uživatele, kteří mohou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo Azure Active Directory. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že uživatel má identitu a oprávnění. Například:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří mohou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění ve službě Azure AD a jinde, která nejsou udělena správcům ověřování. Prostřednictvím této cesty může správce ověřování převzít identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří mohou mít přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a Microsoft 365 skupiny uživatelů, kteří mohou spravovat členství ve skupinách. Tyto skupiny mohou udělit přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure AD a jinde.
  • Správci v jiných službách mimo Azure AD, jako je Exchange Online, Centrum zabezpečení a dodržování předpisů Office a systémy lidských zdrojů.
  • Uživatelé, kteří nejsou správci, jako jsou členové vedení, právní zástupci a zaměstnanci lidských zdrojů, kteří můžou mít přístup k citlivým nebo soukromým informacím.

Důležité

Tato role v současné době na starším portálu pro správu MFA nemůže spravovat více ověřování pro uživatele. Stejné funkce je možné provádět pomocí rutiny Set-MsolUser modulu Azure AD PowerShell.

Akce Popis
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení tím, že zneplatní tokeny aktualizace uživatele
microsoft.directory/users/strongAuthentication/update Aktualizace vlastnosti silného ověřování pro uživatele
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce privilegovaných rolí

Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure Active Directory a taky v Azure AD Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které se dají přiřadit k rolím Azure AD. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.

Důležité

Tato role uděluje možnost spravovat přiřazení pro všechny role Azure AD, včetně role globálního správce. Tato role nezahrnuje žádné další privilegované možnosti ve službě Azure AD, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli ale můžou udělit další role nebo jiné další oprávnění.

Akce Popis
Microsoft. Directory/administrativeUnits/allProperties/allTasks Vytváření a Správa jednotek pro správu (včetně členů)
Microsoft. Directory/appRoleAssignments/allProperties/allTasks Vytváření a odstraňování appRoleAssignments a čtení a aktualizace všech vlastností
Microsoft. Directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
microsoft.directory/directoryRoles/allProperties/allTasks Vytvoření a odstranění rolí adresáře a čtení a aktualizace všech vlastností
microsoft.directory/groupsAssignableToRoles/create Vytváření skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/delete Odstranění skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/restore Obnovení skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizace skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Vytvoření a odstranění přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytvoření a odstranění definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytvoření a odstranění scopedRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizovat přiřazení rolí instančního objektu
Microsoft. Directory/servicePrincipals/oprávnění/aktualizace Aktualizovat oprávnění instančních objektů
Microsoft. Directory/servicePrincipals/managePermissionGrantsForAll. Microsoft-Company-Admin Udělení souhlasu pro všechna oprávnění k jakékoli aplikaci
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Čtečka sestav

Uživatelé s touto rolí mohou zobrazovat data vytváření sestav o využití a řídicí panel sestavy v centru pro správu Microsoft 365 a kontext pro přijetí v Power BI. Role navíc poskytuje přístup k sestavám přihlašování a aktivitám v Azure AD a datům vráceným rozhraním API pro vytváření sestav Microsoft Graph. Uživatel přiřazený k roli čtenáře sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centrům pro správu specifickým pro konkrétní produkt, jako je Exchange. Tato role nemá přístup k zobrazení, vytvoření nebo správě lístků podpory.

Akce Popis
Microsoft. Directory/auditLogs/allProperties/Read Načte všechny vlastnosti v protokolech auditu, včetně privilegovaných vlastností.
Microsoft. Directory/provisioningLogs/allProperties/Read Načte všechny vlastnosti protokolů zřizování.
Microsoft. Directory/signInReports/allProperties/Read Načte všechny vlastnosti v sestavách přihlášení, včetně privilegovaných vlastností.
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce vyhledávání

Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Tito uživatelé mohou navíc zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centrum zpráv ve Centrum pro správu Microsoftu 365, s výjimkou zpráv zabezpečení
microsoft.office365.search/content/manage Vytvoření a odstranění obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Editor hledání

Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v centru pro správu Microsoft 365, včetně záložek, Q&jako a umístění.

Akce Popis
Microsoft. Office 365. messageCenter/Messages/Read Čtení zpráv v centru zpráv v centru pro správu Microsoft 365 s výjimkou zpráv zabezpečení
Microsoft. Office 365. Search/Content/Manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve společnosti Microsoft Search
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce zabezpečení

Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením ve službě Microsoft 365 Security Center, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection a Office 365 Security & Security Center. Další informace o oprávněních sady Office 365 jsou k dispozici na stránce oprávnění v centru zabezpečení & dodržování předpisů.

V Může
Microsoft 365 Security Center Monitorování zásad souvisejících se zabezpečením napříč Microsoft 365 službami
Správa bezpečnostních hrozeb a výstrah
Zobrazení sestav
Centrum služby Identity Protection Všechna oprávnění role čtenář zabezpečení
Kromě toho možnost provádět všechny operace centra služby Identity Protection s výjimkou resetování hesel
Privileged Identity Management Všechna oprávnění role čtenář zabezpečení
Není možné spravovat přiřazení nebo nastavení rolí Azure AD
Centrum zabezpečení a dodržování & Office 365 Správa zásad zabezpečení
Zobrazení, prošetřování a reakce na bezpečnostní hrozby
Zobrazení sestav
Azure Advanced Threat Protection Monitorování podezřelých bezpečnostních aktivit a reakce na ně
Windows Defender ATP a EDR Přiřazení rolí
Správa skupin počítače
Konfigurace detekce hrozeb koncového bodu a automatizované nápravy
Zobrazení, prošetřování a reakce na výstrahy
Intune Zobrazení informací o uživateli, zařízení, registraci, konfiguraci a aplikaci
V Intune není možné provádět změny
Cloud App Security Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení
Azure Security Center Může zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, upravit zásady zabezpečení, zobrazit upozornění a doporučení, zavřít upozornění a doporučení.
Microsoft 365 service health Zobrazení stavu Microsoft 365 služeb
Inteligentní uzamčení Definujte prahovou hodnotu a dobu trvání uzamčení v případě neúspěšných událostí přihlášení.
Ochrana hesel Konfigurace vlastního seznamu zakázaných hesel nebo místní ochrany hesel
Akce Popis
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/auditLogs/allProperties/read Načte všechny vlastnosti v protokolech auditu, včetně privilegovaných vlastností.
Microsoft. Directory/bitlockerKeys/Key/Read Číst metadata a klíč nástroje BitLocker na zařízeních
Microsoft. Directory/entitlementManagement/allProperties/Read Čtení všech vlastností v Azure AD – Správa nároků
Microsoft. Directory/identityProtection/allProperties/Read Čtení všech prostředků v Azure AD Identity Protection
Microsoft. Directory/identityProtection/allProperties/Update Aktualizace všech prostředků v Azure AD Identity Protection
Microsoft. Directory/policies/Create Vytvoření zásad ve službě Azure AD
Microsoft. Directory/policies/DELETE Odstranění zásad ve službě Azure AD
Microsoft. Directory/policies/Basic/Update Aktualizace základních vlastností v zásadách
Microsoft. Directory/policies/Owners/Update Aktualizovat vlastníky zásad
Microsoft. Directory/policies/tenantDefault/Update Aktualizace výchozích zásad organizace
Microsoft. Directory/conditionalAccessPolicies/Create Vytvoření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost Použito na pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizace vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/crossTenantAccessPolicies/create Vytvoření zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/delete Odstranění zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicies/standard/read Čtení základních vlastností zásad přístupu mezi klienty
Microsoft. Directory/crossTenantAccessPolicies/Owners/Read Čtení vlastníků pro zásady přístupu mezi klienty
Microsoft. Directory/crossTenantAccessPolicies/policyAppliedTo/Read Přečtěte si vlastnost policyAppliedTo pro zásady přístupu mezi klienty.
Microsoft. Directory/crossTenantAccessPolicies/Basic/Update Aktualizace základních vlastností zásad přístupu mezi klienty
Microsoft. Directory/crossTenantAccessPolicies/Owners/Update Aktualizace vlastníků pro zásady přístupu mezi klienty
Microsoft. Directory/crossTenantAccessPolicies/tenantDefault/Update Aktualizace výchozího tenanta pro zásady přístupu mezi klienty
Microsoft. Directory/privilegedIdentityManagement/allProperties/Read Čtení všech prostředků v Privileged Identity Management
Microsoft. Directory/provisioningLogs/allProperties/Read Načte všechny vlastnosti protokolů zřizování.
Microsoft. Directory/servicePrincipals/policies/Update Aktualizovat zásady instančních objektů
Microsoft. Directory/signInReports/allProperties/Read Načte všechny vlastnosti v sestavách přihlášení, včetně privilegovaných vlastností.
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.protectionCenter/allEntities/standard/read Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/allEntities/basic/update Aktualizace základních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datové části útoků v simulátoru útoků
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav odpovědí simulace útoku a souvisejících školení
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Vytváření a správa šablon simulace útoků v simulátoru útoků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Operátor zabezpečení

Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím spojeným se zabezpečením, včetně všech informací v Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management a Office 365 Security & Center pro dodržování předpisů. Další informace o oprávněních sady Office 365 jsou k dispozici na stránce oprávnění v centru zabezpečení & dodržování předpisů.

V Může
Microsoft 365 Security Center Všechna oprávnění role čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení hrozeb
Azure AD Identity Protection Všechna oprávnění role čtenář zabezpečení
Kromě toho možnost provádět všechny operace centra služby Identity Protection s výjimkou resetování hesel a konfigurace e-mailů s výstrahami.
Privileged Identity Management Všechna oprávnění role čtenář zabezpečení
Office 365 Security & – centrum dodržování předpisů Všechna oprávnění role čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Ochrana ATP a EDR v programu Windows Defender Všechna oprávnění role čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Intune Všechna oprávnění role čtenář zabezpečení
Cloud App Security Všechna oprávnění role čtenář zabezpečení
Stav služby Microsoft 365 Zobrazit stav služby Microsoft 365 Services
Akce Popis
Microsoft. Directory/auditLogs/allProperties/Read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Cloud App Security
microsoft.directory/identityProtection/allProperties/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků v Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.intune/allEntities/read Čtení všech prostředků v Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v centru Microsoft 365 Security and Compliance Center
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Windows. defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů programu Microsoft Defender pro koncový bod

Čtecí modul zabezpečení

Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací v Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management, a také možnost číst Azure Active Directory sestav a protokolů auditu a v centru zabezpečení pro & 365 zabezpečení pro Office. Další informace o oprávněních sady Office 365 jsou k dispozici na stránce oprávnění v centru zabezpečení & dodržování předpisů.

V Může
Microsoft 365 Security Center Zobrazení zásad souvisejících se zabezpečením napříč Microsoft 365 službami
Zobrazit bezpečnostní hrozby a výstrahy
Zobrazení sestav
Centrum služby Identity Protection Čtení všech sestav zabezpečení a informací o nastavení pro funkce zabezpečení
  • Ochrana proti nevyžádané poště
  • Šifrování
  • Prevence ztráty dat
  • Ochrana proti malwaru
  • Rozšířená ochrana před internetovými útoky
  • Ochrana proti podvodným zprávám
  • Pravidla toku pošty
Privileged Identity Management Má přístup jen pro čtení ke všem informacím, které jsou v Azure AD Privileged Identity Management: zásady a sestavy pro přiřazení rolí Azure AD a recenze zabezpečení.
Nelze se zaregistrovat k Azure AD Privileged Identity Management ani provádět žádné změny. V Privileged Identity Managementovém portálu nebo prostřednictvím prostředí PowerShell může osoba v této roli aktivovat další role (například správce globálního správce nebo privilegované role), pokud je pro ně uživatel oprávněný.
Centrum zabezpečení a dodržování & Office 365 Zobrazení zásad zabezpečení
Zobrazení a prozkoumání bezpečnostních hrozeb
Zobrazení sestav
Windows Defender ATP a EDR Zobrazení a prošetřování výstrah Když zapnete řízení přístupu na základě role v Windows Defender ATP, uživatelé s oprávněními jen pro čtení, jako je role Azure AD Čtenář zabezpečení, ztratí přístup, dokud nebudou přiřazení k roli Windows Defender ATP.
Intune Zobrazení informací o uživateli, zařízení, registraci, konfiguraci a aplikaci. Nemůže provádět změny v Intune.
Cloud App Security Má oprávnění jen pro čtení a může spravovat výstrahy.
Azure Security Center Může zobrazit doporučení a výstrahy, zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, ale nemůže provádět změny.
Microsoft 365 service health Zobrazení stavu Microsoft 365 služeb
Akce Popis
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností
microsoft.directory/bitlockerKeys/key/read Čtení metadat a klíče nástroje BitLocker na zařízeních
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Azure AD
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků v Azure AD Identity Protection
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
Microsoft. Directory/policies/Owners/Read Čtení vlastníků zásad
Microsoft. Directory/policies/policyAppliedTo/Read Číst zásady. vlastnost policyAppliedTo
Microsoft. Directory/conditionalAccessPolicies/Standard/Read Číst podmíněný přístup pro zásady
Microsoft. Directory/conditionalAccessPolicies/Owners/Read Přečtěte si vlastníky zásad podmíněného přístupu.
Microsoft. Directory/conditionalAccessPolicies/policyAppliedTo/Read Přečtěte si vlastnost "použito na" pro zásady podmíněného přístupu.
Microsoft. Directory/privilegedIdentityManagement/allProperties/Read Čtení všech prostředků v Privileged Identity Management
Microsoft. Directory/provisioningLogs/allProperties/Read Načte všechny vlastnosti protokolů zřizování.
Microsoft. Directory/signInReports/allProperties/Read Načte všechny vlastnosti v sestavách přihlášení, včetně privilegovaných vlastností.
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Office 365. protectionCenter/allEntities/Standard/Read Načte standardní vlastnosti všech prostředků v centrech zabezpečení a dodržování předpisů.
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Čtení všech vlastností datové části útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav odpovědí simulace útoku a souvisejících školení
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Čtení všech vlastností šablon simulace útoku v simulátoru útoku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce podpory služeb

Uživatelé s touto rolí mohou otevírat žádosti o podporu u Microsoftu pro Azure a služby Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv v Azure Portal a Centrum pro správu Microsoftu 365. Další informace najdete v části Informace o rolích správce.

Poznámka

Dříve se tato role nazývala Správce služeb v Azure Portal a Centrum pro správu Microsoftu 365. Přejmenoval jsme ho na "Správce podpory služeb", aby byl v souladu s názvem v rozhraní Microsoft Graph API, Azure AD Graph API a Azure AD PowerShellu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v centru pro správu Microsoft 365
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce služby SharePoint

Uživatelé s touto rolí mají globální oprávnění v rámci služby Microsoft SharePoint Online, pokud je tato služba k dispozici, a také možnost vytvářet a spravovat všechny Microsoft 365 skupiny, spravovat lístky podpory a monitorovat stav služby. Další informace najdete v informacích o rolích správce.

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShell je tato role označená jako "Správce služby SharePoint". Je to "Správce služby SharePoint" v Azure Portal.

Poznámka

Tato role také uděluje vymezená oprávnění Microsoft Graph rozhraní API pro Microsoft Intune a umožňuje tak správu a konfiguraci zásad souvisejících se zdroji na SharePointu a OneDrive.

Akce Popis
Microsoft. Directory/groups. Unified/Create Vytvoření skupin Microsoft 365 s vyloučením skupin s přiřazením rolí
Microsoft. Directory/groups. Unified/DELETE Odstranit skupiny Microsoft 365 s vyloučením skupin, které lze přiřadit rolím
Microsoft. Directory/groups. Unified/Restore Obnovit Microsoft 365 skupiny
Microsoft. Directory/groups. Unified/Basic/Update Aktualizace základních vlastností Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů Microsoft 365 skupin vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce Skypu pro firmy

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, když je služba přítomná, a také spravovat atributy uživatelů pro Skype v Azure Active Directory. Kromě toho tato role uděluje možnost spravovat lístky podpory a monitorovat stav služeb a přistupovat k týmům a centru pro správu Skypu pro firmy. Účet musí být také licencován pro týmy nebo nemůže spustit rutiny prostředí PowerShell pro týmy. Další informace najdete v části informace o licencích pro role správce Skypu pro firmy a týmy na webu Skype pro firmy a v doplňku pro licencování Microsoft Teams .

Poznámka

V rozhraní Microsoft Graph API a Azure AD PowerShell je tato role označená jako "Správce služby Lync". Ve Azure Portalje to správce Skypu pro firmy.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. skypeForBusiness/allEntities/allTasks Umožňuje spravovat všechny aspekty Online Skypu pro firmy.
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. usageReports/allEntities/allProperties/Read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365

Správce Teams

Uživatelé v této roli mohou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím centra pro správu Microsoft Teams & Skype pro firmy a příslušných modulů PowerShellu. Patří sem mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzek a týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoft 365, spravovat lístky podpory a monitorovat stav služeb.

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupiny
microsoft.directory/groups.unified/create Vytvoření Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení Microsoft 365 skupin
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů Microsoft 365 skupin vyloučením skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků Microsoft 365 skupin s vyloučením skupin s možností přiřazení rolí
Microsoft. Directory/servicePrincipals/managePermissionGrantsForGroup. Microsoft-All-Application-Permissions Udělení instančního objektu s přímým přístupem k datům skupiny
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Azure. supportTickets/allEntities/allTasks Vytváření a Správa lístků podpory Azure
Microsoft. Office 365. Network/Performance/allProperties/Read Čtení všech vlastností výkonu sítě v centru pro správu Microsoft 365
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. skypeForBusiness/allEntities/allTasks Umožňuje spravovat všechny aspekty Online Skypu pro firmy.
Microsoft. Office 365. supportTickets/allEntities/allTasks Vytváření a správa žádostí o Microsoft 365 služby
Microsoft. Office 365. usageReports/allEntities/allProperties/Read Čtení sestav využití Office 365
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.
Microsoft. Teams/allEntities/allProperties/allTasks Správa všech prostředků v týmech

Správce komunikace Teams

Uživatelé v této roli mohou spravovat aspekty úlohy Microsoft Teams související s telefonií & hlasových služeb. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup k sady nástrojů pro analýzu volání.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Online Skypu pro firmy
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)
microsoft.teams/meetings/allProperties/allTasks Správa schůzek, včetně zásad schůzky, konfigurací a konferenčních mostů
Microsoft. Teams/Voice/allProperties/allTasks Správa hlasu včetně zásad volání a inventáře a přiřazení telefonního čísla

Týmy Communications support inženýr

Uživatelé v této roli můžou řešit problémy s komunikací v rámci Microsoft Teams & Skype pro firmy pomocí nástrojů pro řešení potíží s uživatelem v Microsoft Teams & v centru pro správu Skypu pro firmy. Uživatelé v této roli mohou zobrazit úplné informace o záznamech volání pro všechny účastnící se účastníky. Tato role nemá přístup k zobrazení, vytvoření nebo správě lístků podpory.

Akce Popis
Microsoft. Azure. serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
Microsoft. Office 365. serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v centru pro správu Microsoft 365
Microsoft. Office 365. skypeForBusiness/allEntities/allTasks Umožňuje spravovat všechny aspekty Online Skypu pro firmy.
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.
Microsoft. Teams/callQuality/allProperties/Read Číst všechna data na řídicím panelu kvality volání (CQD)

Týmy Communications support specialisty

Uživatelé v této roli můžou řešit problémy s komunikací v rámci Microsoft Teams & Skype pro firmy pomocí nástrojů pro řešení potíží s uživatelem v Microsoft Teams & v centru pro správu Skypu pro firmy. Uživatelé v této roli můžou zobrazit jenom podrobnosti o uživateli ve volání pro konkrétního uživatele, který si vyhledali. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Online Skypu pro firmy
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/standard/read Čtení základních dat na řídicím panelu kvality volání (CQD)

Správce zařízení Teams

Uživatelé s touto rolí mohou spravovat zařízení certifikovaná pro Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení na jednom pohledu a umožňuje vyhledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o jednotlivých zařízeních, včetně přihlášeného účtu, výrobce a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.

Akce Popis
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností u všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/devices/standard/read Správa všech aspektů zařízení, která jsou certifikována pro týmy včetně zásad konfigurace

Čtečka sestav Souhrn využití

Uživatelé s touto rolí mají přístup ke agregovaným datům na úrovni tenanta a k souvisejícím přehledům v centru pro správu Microsoft 365 pro využití a zvýšení produktivity, ale nemají přístup k podrobnostem na úrovni uživatele nebo přehledům. V centru pro správu Microsoft 365 pro tyto dvě sestavy rozlišujeme mezi agregovanými daty úrovně tenanta a podrobnostmi na úrovni uživatele. Tato role poskytuje dodatečnou vrstvu ochrany na jednotlivých uživatelem identifikovatelných dat, která požadovali zákazníci i právní týmy.

Akce Popis
Microsoft. Office 365. Network/Performance/allProperties/Read Čtení všech vlastností výkonu sítě v centru pro správu Microsoft 365
Microsoft. Office 365. usageReports/allEntities/Standard/Read Číst agregované sestavy využití Office 365 na úrovni tenanta
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Správce uživatelů

Uživatelé s touto rolí můžou vytvářet uživatele a spravovat všechny aspekty uživatelů s některými omezeními (viz tabulku) a můžou aktualizovat zásady vypršení platnosti hesla. Uživatelé s touto rolí můžou navíc vytvářet a spravovat všechny skupiny. Tato role také zahrnuje možnost vytvářet a spravovat zobrazení uživatelů, spravovat lístky podpory a monitorovat stav služby. Správci uživatelů nemají oprávnění ke správě některých uživatelských vlastností pro uživatele ve většině rolí správce. Uživatel s touto rolí nemá oprávnění ke správě vícefaktorového ověřování. Role, které jsou výjimkou tohoto omezení, jsou uvedeny v následující tabulce.

Oprávnění správce uživatele Poznámky
Vytváření uživatelů a skupin
Vytvářet a spravovat zobrazení uživatelů
Správa lístků podpory Office
Aktualizace zásad vypršení platnosti hesla
Správa licencí
Správa všech vlastností uživatele kromě hlavního názvu uživatele
Platí pro všechny uživatele, včetně všech správců.
Odstranění a obnovení
Zakázání a povolení
Správa všech vlastností uživatele, včetně hlavního názvu uživatele
Aktualizace klíčů zařízení (FIDO)
Platí pro uživatele, kteří nejsou správci, nebo v kterékoli z následujících rolí:
  • Správce helpdesku
  • Uživatel bez role
  • Správce uživatelů
Zneplatní obnovovací tokeny
Resetování hesla
Seznam rolí, pro které může správce uživatelů resetovat hesla a zneplatnět obnovovací tokeny, najdete v tématu Oprávnění k resetování hesla.

Důležité

Uživatelé s touto rolí mohou měnit hesla pro uživatele, kteří mohou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo Azure Active Directory. Změna hesla uživatele může znamenat možnost předpokládat, že uživatel má identitu a oprávnění. Například:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří mohou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění ve službě Azure AD a jinde, která nejsou udělena správcům uživatelů. Tímto způsobem může správce uživatelů převzít identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří mohou mít přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a Microsoft 365 skupiny uživatelů, kteří mohou spravovat členství ve skupinách. Tyto skupiny mohou udělit přístup k citlivým nebo privátním informacím nebo kritické konfiguraci v Azure AD a jinde.
  • Správci v jiných službách mimo Azure AD, jako je Exchange Online, Centrum zabezpečení a dodržování předpisů pro Office a systémy lidských zdrojů.
  • Nesprávci jako vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
Microsoft. Directory/appRoleAssignments/Create Vytvoření přiřazení aplikační role
Microsoft. Directory/appRoleAssignments/DELETE Odstranit přiřazení rolí aplikace
Microsoft. Directory/appRoleAssignments/Basic/Update Aktualizace základních vlastností přiřazení rolí aplikace
Microsoft. Directory/Contacts/Create Vytvoření kontaktů
Microsoft. Directory/Contacts/DELETE Odstranit kontakty
Microsoft. Directory/Contacts/Basic/Update Aktualizace základních vlastností u kontaktů
Microsoft. Directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností v Azure AD – Správa nároků
Microsoft. Directory/Groups/assignLicense Přiřazení licencí k produktu skupinám pro licencování na základě skupin
Microsoft. Directory/Groups/Create Vytváření skupin s vyloučením skupin s přiřazením rolí
microsoft.directory/groups/delete Odstranění skupin s výjimkou skupiny s možností přiřazení rolí
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupiny
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení odstraněných skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností u skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastnosti groupType pro skupinu
microsoft.directory/groups/members/update Aktualizace členů skupin s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizujte Azure Active Directory skupiny tak, aby se zapisly zpět do místního prostředí pomocí Azure AD Connect
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin bez skupin s přiřazením rolí
Microsoft. Directory/Groups/Settings/Update Aktualizovat nastavení skupin
Microsoft. Directory/Groups/Visibility/Update Aktualizuje vlastnost viditelnost skupin.
Microsoft. Directory/oAuth2PermissionGrants/allProperties/allTasks Umožňuje vytvářet a odstraňovat oprávnění OAuth 2,0 a číst a aktualizovat všechny vlastnosti.
Microsoft. Directory/servicePrincipals/appRoleAssignedTo/Update Aktualizovat přiřazení rolí instančního objektu
Microsoft. Directory/Users/assignLicense Správa uživatelských licencí
Microsoft. Directory/uživatelé/vytvořit Přidání uživatelů
Microsoft. Directory/Users/DELETE Odstranění uživatelů
Microsoft. Directory/Users/Disable Zakázat uživatele
Microsoft. Directory/uživatelé/povolit Povolit uživatele
Microsoft. Directory/Users/inviteGuest Pozvání uživatelů typu host
Microsoft. Directory/Users/invalidateAllRefreshTokens Vynutit odhlášení pomocí neověřování tokenů aktualizace uživatelů
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností u uživatelů
microsoft.directory/users/manager/update Update Manager pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele (hlavního názvu uživatele) uživatelů
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa podpora Azure lístků
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa Microsoft 365 žádostí o služby
Microsoft. Office 365. WebPort/allEntities/Standard/Read Přečte základní vlastnosti všech prostředků v centru pro správu Microsoft 365.

Pochopení oprávnění rolí

Schéma pro oprávnění bez omezení Microsoft Graph následující:

<namespace>/<entity>/<propertySet>/<action>

Například:

microsoft.directory/applications/credentials/update

Element oprávnění Description
namespace Produkt nebo služba, které vystavují úkol a jsou součástí microsoft . Například všechny úlohy ve službě Azure AD používají microsoft.directory obor názvů.
entita Logická funkce nebo komponenta vystavené službou v Microsoft Graph. Například Azure AD zveřejňuje uživatele a skupiny, OneNote zpřístupňuje poznámky a Exchange zveřejňuje poštovní schránky a kalendáře. Existuje speciální allEntities klíčové slovo pro zadání všech entit v oboru názvů. Tato funkce se často používá v rolích, které udělují přístup k celému produktu.
PropertySet – Konkrétní vlastnosti nebo aspekty entity, pro které se uděluje přístup Například microsoft.directory/applications/authentication/read udělí možnost číst adresu URL odpovědi, adresu URL pro odhlášení a vlastnost implicitního toku u objektu aplikace v Azure AD.
  • allProperties Určuje všechny vlastnosti entity, včetně privilegovaných vlastností.
  • standard určí společné vlastnosti, ale vyloučí privilegované objekty související s read akcí. Například microsoft.directory/user/standard/read umožňuje číst standardní vlastnosti, jako je veřejné telefonní číslo a e-mailová adresa, ale ne soukromé sekundární telefonní číslo nebo e-mailovou adresu, která se používá pro službu Multi-Factor Authentication.
  • basic určí společné vlastnosti, ale vyloučí privilegované objekty související s update akcí. Sada vlastností, které lze číst, se může lišit od toho, co můžete aktualizovat. To je důvod, proč existují standard a basic klíčová slova, která se mají odrážet.
action Udělená operace, obvykle vytvoření, čtení, aktualizace nebo odstranění (CRUD). Existuje speciální klíčové slovo pro určení všech výše allTasks uvedených schopností (vytvoření, čtení, aktualizace a odstranění).

Zastaralé role

Následující role by se neměly používat. Jsou zastaralé a v budoucnu budou z Azure AD odebrány.

  • Správce licencí adhoc
  • Připojení zařízení
  • Správci zařízení
  • Uživatelé zařízení
  • Autor ověřeného uživatele e-mailem
  • Správce poštovní schránky
  • Připojení zařízení k pracovišti

Role, které se nezobrazí na portálu

Ne každá role vrácená prostředím PowerShell nebo Graph API MS je viditelná v Azure Portal. Následující tabulka tyto rozdíly uspořádá.

Název rozhraní API Azure Portal názvu Poznámky
Připojení zařízení Zastaralé Dokumentace k zastaralých rolím
Správci zařízení Zastaralé Dokumentace k zastaralých rolím
Uživatelé zařízení Zastaralé Dokumentace k zastaralým rolím
Účty synchronizace adresářů Nezobrazeno, protože by neměl být použit Dokumentace k účtům synchronizace adresářů
Uživatel typu host Nezobrazeno, protože nemůže být použit NA
Podpora partnerské vrstvy 1 Nezobrazeno, protože by neměl být použit Dokumentace k podpoře partnerů Tier1
Podpora partnerské úrovně 2 Nezobrazeno, protože by neměl být použit Dokumentace k podpoře partnerů 2
Omezený uživatel typu Host Nezobrazeno, protože nemůže být použit NA
Uživatel Nezobrazeno, protože nemůže být použit NA
Připojení zařízení na pracovišti Zastaralé Dokumentace k zastaralým rolím

Oprávnění pro resetování hesla

Záhlaví sloupců reprezentují role, které můžou resetovat hesla. Řádky tabulky obsahují role, pro které je možné resetovat heslo.

Heslo je možné resetovat. Správce hesel Správce helpdesku Správce ověřování Správce uživatelů Správce privilegovaného ověřování Globální správce
Správce ověřování     ✔️   ✔️ ✔️
Čtenáři adresářů ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Globální správce         ✔️ ✔️*
Správce skupin       ✔️ ✔️ ✔️
Pozvaný host ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Správce helpdesku   ✔️   ✔️ ✔️ ✔️
Centrum zpráv čtečky   ✔️ ✔️ ✔️ ✔️ ✔️
Správce hesel ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Privileged Authentication Admin         ✔️ ✔️
Správce privilegovaných rolí         ✔️ ✔️
Čtenář sestav   ✔️ ✔️ ✔️ ✔️ ✔️
Uživatel (bez role správce) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Správce uživatelů       ✔️ ✔️ ✔️
Čtenář sestav souhrnu využití   ✔️ ✔️ ✔️ ✔️ ✔️

* Globální správce nemůže odebrat vlastní přiřazení globálního správce. K tomu je potřeba zabránit situaci, kdy má organizace 0 globálních správců.

Další kroky