Ingebouwde Azure AD-rollen
Als Azure Active Directory (Azure AD) een andere beheerder of niet-beheerder Azure AD-resources moet beheren, wijst u hen een Azure AD-rol toe die de machtigingen biedt die ze nodig hebben. U kunt bijvoorbeeld rollen toewijzen om het toevoegen of wijzigen van gebruikers toe te staan, gebruikerswachtwoorden opnieuw in te stellen, gebruikerslicenties te beheren of domeinnamen te beheren.
Dit artikel bevat een overzicht van de ingebouwde Azure AD-rollen die u kunt toewijzen om beheer van Azure AD-resources toe te staan. Zie Azure AD-rollen toewijzen aan gebruikers voor meer informatie over het toewijzen van rollen.
Alle rollen
| Rol | Beschrijving | Sjabloon-id |
|---|---|---|
| Toepassingsbeheerder | Kan alle aspecten van app-registraties en bedrijfsapps maken en beheren. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Toepassingsontwikkelaar | Kan toepassingsregistraties maken, onafhankelijk van de instelling 'Gebruikers kunnen toepassingen registreren'. | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Auteur van nettolading voor aanvallen | Kan nettoladingen voor aanvallen maken die een beheerder later kan initiëren. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Beheerder van aanvalssimulatie | Kan alle aspecten van aanvalssimulatiecampagnes maken en beheren. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Beheerder van kenmerktoewijzing | Wijs aangepaste sleutels en waarden voor beveiligingskenmerken toe aan ondersteunde Azure AD-objecten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Lezer van kenmerktoewijzing | Lees aangepaste sleutels en waarden voor beveiligingskenmerken voor ondersteunde Azure AD-objecten. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Kenmerkdefinitiebeheerder | De definitie van aangepaste beveiligingskenmerken definiëren en beheren. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Kenmerkdefinitielezer | Lees de definitie van aangepaste beveiligingskenmerken. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Verificatiebeheerder | Heeft toegang tot het weergeven, instellen en opnieuw instellen van verificatiemethodegegevens voor elke gebruiker die geen beheerder is. | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Verificatiebeleidsbeheerder | Kan het verificatiemethodebeleid, de tenantbrede MFA-instellingen, het wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Lokale beheerder van apparaat dat is verbonden met Azure AD | Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd aan de lokale beheerdersgroep op apparaten die zijn toegevoegd aan Azure AD. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps-beheerder | Kan Azure DevOps-beleid en -instellingen beheren. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-beheerder | Kan alle aspecten van het Azure Information Protection beheren. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Beheerder van B2C IEF-sleutelset | Kan geheimen voor federatie en versleuteling beheren in Identity Experience Framework (IEF). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Beheerder van B2C IEF-beleid | Kan vertrouwenskaderbeleid maken en beheren in de Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Factureringsbeheerder | Kan algemene taken met betrekking tot facturering uitvoeren, zoals het bijwerken van betalingsgegevens. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security administrator | Kan alle aspecten van het Cloud App Security beheren. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Beheerder van de cloudtoepassing | Kan alle aspecten van app-registraties en bedrijfsapps maken en beheren, met uitzondering van App Proxy. | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| Cloudapparaatbeheerder | Beperkte toegang voor het beheren van apparaten in Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Beheerder voor naleving | Kan configuratie en rapporten voor naleving lezen en beheren in Azure AD en Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Beheerder voor nalevingsgegevens | Hiermee maakt en beheert u nalevingsinhoud. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Beheerder van voorwaardelijke toegang | Kan mogelijkheden voor voorwaardelijke toegang beheren. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Toegangsfiatteur voor Klanten-lockbox | Kan Ondersteuningsaanvragen van Microsoft goedkeuren voor toegang tot organisatiegegevens van klanten. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics-beheerder | Kan bureaubladbeheerprogramma's en -services openen en beheren. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Lezers van mappen | Kan basisinformatie over directory's lezen. Wordt vaak gebruikt om leestoegang tot mappen toe te staan aan toepassingen en gasten. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Adreslijstsynchronisatieaccounts | Alleen gebruikt door Azure AD Verbinding maken service. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Adreslijstschrijvers | Kan basisinformatie over directory's lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Domeinnaambeheerder | Kan domeinnamen beheren in de cloud en on-premises. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-beheerder | Kan alle aspecten van het Dynamics 365-product beheren. | 44367163-eba1-44c3-98af-f5787879f96a |
| Edge-beheerder | Beheer alle aspecten van Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange Administrator | Kan alle aspecten van het Exchange beheren. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange Beheerder ontvanger | Kan ontvangers binnen Exchange Online organisatie maken Exchange Online bijwerken. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Beheerder van externe id-gebruikersstromen | Kan alle aspecten van gebruikersstromen maken en beheren. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Beheerder van externe id-gebruikersstroomkenmerken | Kan het kenmerkschema maken en beheren dat beschikbaar is voor alle gebruikersstromen. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Beheerder van externe id-providers | Kan id-providers configureren voor gebruik in directe federatie. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Globale beheerder | Kan alle aspecten van Azure AD en Microsoft-services die gebruikmaken van Azure AD-identiteiten. | 62e90394-69f5-4237-9190-012177145e10 |
| Algemene lezer | Kan alles lezen wat een globale beheerder kan, maar niets bijwerken. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Groepsbeheerder | Leden van deze rol kunnen groepen maken/beheren, instellingen voor groepen maken/beheren, zoals naamgeving en verloopbeleid, en activiteiten- en controlerapporten van groepen weergeven. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Afzender van gastuitnodigingen | Kan gastgebruikers uitnodigen onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen'. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Helpdeskbeheerder | Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybrid Identity-beheerder | Kan ad-naar-Azure AD-cloud inrichting, Azure AD-Verbinding maken en federatie-instellingen beheren. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance-beheerder | Toegang beheren met Azure AD voor scenario's voor identiteitsbeheer. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights-beheerder | Heeft beheerderstoegang in de Microsoft 365 Insights app. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights-bedrijfsleider | U kunt dashboards en inzichten weergeven en delen via de Microsoft 365 Insights app. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune-beheerder | Kan alle aspecten van het Intune-product beheren. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala-beheerder | Kan instellingen voor Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Kennisbeheerder | Kan kennis, leren en andere intelligente functies configureren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Knowledge Manager | Kan onderwerpen en kennis organiseren, maken, beheren en promoten. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Licentiebeheerder | Kan productlicenties beheren voor gebruikers en groepen. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Berichtencentrum-privacylezer | Kan beveiligingsberichten en updates alleen in Office 365 Berichtencentrum lezen. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Berichtencentrum-lezer | Kan berichten en updates voor hun organisatie alleen in Office 365 Berichtencentrum lezen. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Moderne Commerce-gebruiker | Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. | d24aef57-1500-4070-84db-2666f29cf966 |
| Netwerkbeheerder | Kan netwerklocaties beheren en inzicht krijgen in het ontwerp van bedrijfsnetwerk voor Microsoft 365 Software as a Service-toepassingen. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Beheerder van Office-apps | Kan cloudservices voor Office-apps beheren, waaronder beleids- en instellingenbeheer, en de mogelijkheid beheren om inhoud van functies voor nieuwe functies te selecteren, uit te selecteren en te publiceren op apparaten van eindgebruikers. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Laag1-ondersteuning voor partner | Niet gebruiken: niet bedoeld voor algemeen gebruik. | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Laag2-ondersteuning voor partner | Niet gebruiken: niet bedoeld voor algemeen gebruik. | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Wachtwoordbeheerder | Kan wachtwoorden opnieuw instellen voor niet-beheerders en wachtwoordbeheerders. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Power BI administrator | Kan alle aspecten van het Power BI beheren. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Power Platform-beheerder | Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Printerbeheerder | Kan alle aspecten van printers en printerconnectoren beheren. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Printertechnicus | Kan printers registreren en registratie ongedaan maken en de printerstatus bijwerken. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Bevoorrechte verificatiebeheerder | Heeft toegang tot het weergeven, instellen en opnieuw instellen van verificatiemethodegegevens voor elke gebruiker (beheerder of niet-beheerder). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Beheerder voor bevoorrechte rollen | Kan roltoewijzingen beheren in Azure AD en alle aspecten van Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Rapportenlezer | Kan aanmeldings- en controlerapporten lezen. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Zoekbeheerder | Kan alle aspecten van de Microsoft Search maken en beheren. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Zoekredacteur | Kan de redactionele inhoud maken en beheren, zoals bladwijzers, Q en As, locaties, floorplan. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Beveiligingsbeheerder | Kan beveiligingsgegevens en -rapporten lezen en configuratie beheren in Azure AD en Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Beveiligingsoperator | Hiermee maakt en beheert u beveiligingsgebeurtenissen. | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Beveiligingslezer | Kan beveiligingsinformatie en -rapporten lezen in Azure AD en Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Serviceondersteuningsbeheerder | Kan informatie over service health lezen en ondersteuningstickets beheren. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint Administrator | Kan alle aspecten van de SharePoint beheren. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype voor Bedrijven administrator | Kan alle aspecten van het Skype voor Bedrijven beheren. | 75941009-915a-4869-abe7-691bff18279e |
| Teams administrator | Kan de Microsoft Teams beheren. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams-communicatiebeheerder | Kan functies voor oproepen en vergaderingen binnen de Microsoft Teams beheren. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Ondersteuningstechnicus voor Teams-communicatie | Kan communicatieproblemen binnen uw Teams met behulp van geavanceerde hulpprogramma's. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Ondersteuningsspecialist voor Teams-communicatie | Kan communicatieproblemen binnen uw Teams met behulp van basishulpprogramma's. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams-apparaatbeheerder | Kan beheergerelateerde taken uitvoeren op Teams gecertificeerde apparaten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Lezer van rapporten over gebruiksoverzichten | Kan alleen aggregaties op tenantniveau zien in Microsoft 365 Gebruiksanalyse en Productiviteitsscore. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Windows 365-beheerder | Kan alle aspecten van cloud-pc's inrichten en beheren. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows update-implementatiebeheerder | Maak en beheer alle aspecten van Windows Update-implementaties via de Windows Update voor Bedrijven-implementatieservice. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Toepassingsbeheerder
Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Houd er rekening mee dat gebruikers die aan deze rol zijn toegewezen niet als eigenaren worden toegevoegd bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor zowel Microsoft Graph als Azure AD-Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar voor het verlenen van deze machtigingen (dat wil zeggen toestemming geven) is een meer bevoorrechte beheerder vereist, zoals globale beheerder.
Deze rol verleent de mogelijkheid om toepassingsreferenties te beheren. Gebruikers aan wie deze rol is toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als aan de identiteit van de toepassing toegang is verleend tot een resource, zoals de mogelijkheid om gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren kan een verhoging van toegangsrechten zijn voor wat de gebruiker kan doen via hun roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hen de mogelijkheid biedt om de identiteit van een toepassing te imiteren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/applicationProxy/read | Alle eigenschappen van de toepassingsproxy lezen |
| microsoft.directory/applications/applicationProxy/update | Alle eigenschappen van de toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxyAuthentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/applicationProxySslCertificate/update | SSL-certificaatinstellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxyUrlSettings/update | URL-instellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/verification/update | Eigenschap applicationsverification bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantieren op basis van toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/connectors/create | Toepassingsproxyconnectoren maken |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectoren lezen |
| microsoft.directory/connectorGroups/create | Connectorgroepen voor toepassingsproxy maken |
| microsoft.directory/connectorGroups/delete | Connectorgroepen voor toepassingsproxy verwijderen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van connectorgroepen voor toepassingsproxy lezen |
| microsoft.directory/connectorGroups/allProperties/update | Alle eigenschappen van connectorgroepen voor toepassingsproxy's bijwerken |
| microsoft.directory/deletedItems.applications/delete | Permanent verwijderen van toepassingen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.applications/restore | Herstellen van de oorspronkelijke status van de toepassingen die zijn verwijderd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applicationPolicies/create | Toepassingsbeleid maken |
| microsoft.directory/applicationPolicies/delete | Toepassingsbeleid verwijderen |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleid lezen |
| microsoft.directory/applicationPolicies/owners/read | Eigenaren van toepassingsbeleid lezen |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Toepassingsbeleid lezen dat is toegepast op de lijst met objecten |
| microsoft.directory/applicationPolicies/basic/update | Standaardeigenschappen van toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/owners/update | De eigenschap Eigenaar van toepassingsbeleid bijwerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor een enkele aanmelding beheren voor service-principals |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor het inrichten van toepassingen beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Wachtwoordreferenties voor een aanmelding voor service-principals lezen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Verleen toestemming voor toepassingsmachtigingen en gedelegeerde machtigingen namens een gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph en Azure AD-Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Eigenschappen van de doelgroep voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Updatebeleid van service-principals |
| microsoft.directory/servicePrincipals/tag/update | De tag-eigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Toepassingsontwikkelaar
Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling Gebruikers kunnen toepassingen registreren is ingesteld op Nee. Deze rol verleent ook toestemming om namens iemand toestemming te geven wanneer de instelling 'Gebruikers kunnen toestemming geven voor apps die namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/createAsOwner | Maak alle typen toepassingen en creator wordt toegevoegd als de eerste eigenaar |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | OAuth 2.0-machtigingen maken, met creator als de eerste eigenaar |
| microsoft.directory/servicePrincipals/createAsOwner | Service-principals maken, met creator als de eerste eigenaar |
Auteur van nettolading van aanval
Gebruikers met deze rol kunnen nettoladingen voor aanvallen maken, maar niet daadwerkelijk starten of plannen. Nettoladingen van aanvallen zijn vervolgens beschikbaar voor alle beheerders in de tenant die deze kunnen gebruiken om een simulatie te maken.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training |
Beheerder van aanvalssimulatie
Gebruikers met deze rol kunnen alle aspecten van het maken van een aanvalssimulatie, het starten/plannen van een simulatie en de beoordeling van simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Sjablonen voor aanvalssimulatie maken en beheren in de aanvalssimulator |
Beheerder kenmerktoewijzing
Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden toewijzen en verwijderen voor ondersteunde Azure AD-objecten, zoals gebruikers, service-principals en apparaten.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet aan u een van de aangepaste beveiligingskenmerkrollen zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
| microsoft.directory/devices/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor apparaten lezen |
| microsoft.directory/devices/customSecurityAttributes/update | Aangepaste waarden voor beveiligingskenmerken voor apparaten bijwerken |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor service-principals lezen |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aangepaste waarden voor beveiligingskenmerken voor service-principals bijwerken |
| microsoft.directory/users/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor gebruikers lezen |
| microsoft.directory/users/customSecurityAttributes/update | Aangepaste waarden voor beveiligingskenmerken voor gebruikers bijwerken |
Kenmerktoewijzingslezer
Gebruikers met deze rol kunnen aangepaste sleutels en waarden voor beveiligingskenmerken lezen voor ondersteunde Azure AD-objecten.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet aan u een van de aangepaste beveiligingskenmerkrollen zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
| microsoft.directory/devices/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor apparaten lezen |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor service-principals lezen |
| microsoft.directory/users/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken voor gebruikers lezen |
Kenmerkdefinitiebeheerder
Gebruikers met deze rol kunnen een geldige set aangepaste beveiligingskenmerken definiëren die kunnen worden toegewezen aan ondersteunde Azure AD-objecten. Met deze rol kunnen ook aangepaste beveiligingskenmerken worden geactiveerd en gedeactiveerd.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet aan u een van de aangepaste beveiligingskenmerkrollen zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Alle aspecten van kenmerksets beheren |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren |
Kenmerkdefinitielezer
Gebruikers met deze rol kunnen de definitie van aangepaste beveiligingskenmerken lezen.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet aan u een van de aangepaste beveiligingskenmerkrollen zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
Verificatiebeheerder
Gebruikers met deze rol kunnen elke verificatiemethode (inclusief wachtwoorden) instellen of opnieuw instellen voor niet-beheerders en bepaalde rollen. Verificatiebeheerders kunnen vereisen dat gebruikers die niet-beheerders zijn of die zijn toegewezen aan bepaalde rollen, zich opnieuw registreren bij bestaande referenties zonder wachtwoord (bijvoorbeeld MFA of FIDO), en kunnen ook MFA intrekken op het apparaat, dat bij de volgende aanmelding om MFA vraagt. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een verificatiebeheerder kan lezen of bijwerken.
De rol Privileged Authentication Administrator heeft machtigingen om herregistratie en meervoudige verificatie af te dwingen voor alle gebruikers.
De rol Verificatiebeleidsbeheerder heeft machtigingen om het verificatiemethodebeleid van de tenant in te stellen waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
| Rol | De auth-methoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Beleid voor de auth-methode beheren | Wachtwoordbeveiligingsbeleid beheren |
|---|---|---|---|---|---|
| Verificatiebeheerder | Ja voor sommige gebruikers (zie hierboven) | Ja voor sommige gebruikers (zie hierboven) | Nee | Nee | Nee |
| Bevoorrechte verificatiebeheerder | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee |
| Verificatiebeleidsbeheerder | Nee | Nee | Ja | Ja | Ja |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie binnen en buiten Azure Active Directory. Het wijzigen van de referenties van een gebruiker kan betekenen dat u de identiteit en machtigingen van de gebruiker kunt aannemen. Bijvoorbeeld:
- Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie in Azure.
- Beveiligingsgroep en Microsoft 365,die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
- Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office 365 Security & Compliance Center en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridische medewerkers en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.
Belangrijk
Deze rol kan geen MFA-instellingen beheren in de verouderde MFA-beheerportal of Hardware OATH-tokens. Dezelfde functies kunnen worden uitgevoerd met behulp van de Azure AD Powershell-module Set-MsolUser-commandlet.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers maken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Verificatiebeleidsbeheerder
Gebruikers met deze rol kunnen het verificatiemethodebeleid, de tenantbrede MFA-instellingen en het wachtwoordbeveiligingsbeleid configureren. Deze rol verleent machtigingen voor het beheren van instellingen voor wachtwoordbeveiliging: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.
De rollen Authentication Administrator en Privileged Authentication Administrator zijn machtigingen voor het beheren van geregistreerde verificatiemethoden voor gebruikers en kunnen herregistratie en meervoudige verificatie voor alle gebruikers forcen.
| Rol | De auth-methoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Beleid voor de auth-methode beheren | Wachtwoordbeveiligingsbeleid beheren |
|---|---|---|---|---|---|
| Verificatiebeheerder | Ja voor sommige gebruikers (zie hierboven) | Ja voor sommige gebruikers (zie hierboven) | Nee | Nee | Nee |
| Bevoorrechte verificatiebeheerder | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee |
| Verificatiebeleidsbeheerder | Nee | Nee | Ja | Ja | Ja |
Belangrijk
Deze rol kan geen MFA-instellingen beheren in de verouderde MFA-beheerportal of Hardware OATH-tokens.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren |
| microsoft.directory/userCredentialPolicies/create | Referentiebeleid voor gebruikers maken |
| microsoft.directory/userCredentialPolicies/delete | Referentiebeleid voor gebruikers verwijderen |
| microsoft.directory/userCredentialPolicies/standard/read | Standaardeigenschappen van referentiebeleid voor gebruikers lezen |
| microsoft.directory/userCredentialPolicies/owners/read | Eigenaren van referentiebeleid voor gebruikers lezen |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Read policy.appliesTo navigation link |
| microsoft.directory/userCredentialPolicies/basic/update | Basisbeleid voor gebruikers bijwerken |
| microsoft.directory/userCredentialPolicies/owners/update | Eigenaren van referentiebeleid voor gebruikers bijwerken |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Update policy.isOrganizationDefault property |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een verifieerbare referentiekaart lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Een verifieerbare referentiekaart intrekken |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Een verifieerbaar referentiecontract maken |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een verifieerbaar referentiecontract lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Een verifieerbaar referentiecontract bijwerken |
| microsoft.directory/verifiableCredentials/configuration/create | Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/delete | Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties en het verwijderen van alle verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
Lokale beheerder van apparaat dat is verbonden met Azure AD
Deze rol is alleen beschikbaar voor toewijzing als een extra lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale computerbeheerders op alle Windows 10 apparaten die zijn verbonden met Azure Active Directory. Ze hebben niet de mogelijkheid om apparatenobjecten te beheren in Azure Active Directory.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groupSettings/standard/read | Basiseigenschappen over groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor groepsinstellingssjablonen lezen |
Azure DevOps-beheerder
Gebruikers met deze rol kunnen alle Enterprise Azure DevOps-beleidsregels beheren die van toepassing zijn op alle Azure DevOps-organisaties die worden back-by-the-Azure AD. Gebruikers met deze rol kunnen dit beleid beheren door te navigeren naar elke Azure DevOps-organisatie die wordt back-by van Azure AD van het bedrijf. Daarnaast kunnen gebruikers met deze rol het eigendom van zwevende Azure DevOps-organisaties claimen. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld Project Collection Administrators) binnen een van de Azure DevOps-organisaties die worden ondersteuning gegeven door de Azure AD-organisatie van het bedrijf.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Azure DevOps lezen en configureren |
Azure Information Protection-beheerder
Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection service. Met deze rol kunt u labels voor het Azure Information Protection configureren, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health of Office 365 Security & Compliance Center.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Beheerder van B2C IEF-sleutelset
De gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder geheimen zo nodig overrollen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs na het maken ervan.
Belangrijk
Dit is een gevoelige rol. De beheerdersrol keyset moet zorgvuldig worden gecontroleerd en zorgvuldig worden toegewezen tijdens de preproductie en productie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Alle eigenschappen van autorisatiebeleid lezen en bijwerken |
Beheerder van B2C IEF-beleid
Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over de Identity Experience Framework in de relevante Azure AD B2C organisatie. Door beleid te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersinhoud wijzigen (HTML, CSS, JavaScript), de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens verzenden naar externe systemen, inclusief volledige migraties, en alle gebruikersgegevens bewerken, inclusief gevoelige velden, zoals wachtwoorden en telefoonnummers. Deze rol kan daarentegen de versleutelingssleutels niet wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.
Belangrijk
De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauw worden gecontroleerd, met name voor organisaties in productie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Sleutelsets lezen en configureren in Azure Active Directory B2C |
Factureringsbeheerder
Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/organization/basic/update | Basiseigenschappen voor de organisatie bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.commerce.billing/allEntities/allTasks | Alle aspecten van Office 365 beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Cloud App Security administrator
Gebruikers met deze rol hebben volledige machtigingen in Cloud App Security. Ze kunnen beheerders toevoegen, beleidsregels en Microsoft Cloud App Security (MCAS) toevoegen, logboeken uploaden en beheeracties uitvoeren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Cloud App Security |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Beheerder van de cloudtoepassing
Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Met deze rol kunt u alle aspecten van bedrijfstoepassingen en toepassingsregistraties maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor zowel Microsoft Graph als Azure AD-Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar voor het verlenen van deze machtigingen (dat wil zeggen toestemming geven) is een meer bevoorrechte beheerder vereist, zoals globale beheerder.
Deze rol verleent de mogelijkheid om toepassingsreferenties te beheren. Gebruikers aan wie deze rol is toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als aan de identiteit van de toepassing toegang is verleend tot een resource, zoals de mogelijkheid om gebruikers of andere objecten te maken of bij te werken, kan een gebruiker die is toegewezen aan deze rol deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van toegangsrechten zijn voor wat de gebruiker kan doen via hun roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hen de mogelijkheid biedt om de identiteit van een toepassing te imiteren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Opmerkingen bij het bijwerken van toepassingen |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/verification/update | Eigenschap voor het bijwerken van toepassingenverificatie |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantieren op basis van toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.directory/deletedItems.applications/delete | Toepassingen permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.applications/restore | Zacht verwijderde toepassingen herstellen naar de oorspronkelijke staat |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Machtigingen voor OAuth 2.0 maken en verwijderen, en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applicationPolicies/create | Toepassingsbeleid maken |
| microsoft.directory/applicationPolicies/delete | Toepassingsbeleid verwijderen |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleid lezen |
| microsoft.directory/applicationPolicies/owners/read | Eigenaren van toepassingsbeleid lezen |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Toepassingsbeleid lezen dat is toegepast op de lijst met objecten |
| microsoft.directory/applicationPolicies/basic/update | Standaardeigenschappen van toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/owners/update | De eigenschap Eigenaar van toepassingsbeleid bijwerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor een aanmelding bij service-principals beheren |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Inrichtingsgeheimen en -referenties voor toepassingen beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Referenties voor een wachtwoord voor een aanmelding bij service-principals lezen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Verleen toestemming voor toepassingsmachtigingen en gedelegeerde machtigingen namens een gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph en Azure AD-Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepeigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tag-eigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Cloudapparaatbeheerder
Gebruikers met deze rol kunnen apparaten in Azure AD inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels lezen (indien aanwezig) in de Azure Portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Azure AD |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Azure AD |
| microsoft.directory/devices/enable | Apparaten inschakelen in Azure AD |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen |
| microsoft.directory/deviceManagementPolicies/basic/update | Basiseigenschappen voor toepassingsbeleid voor apparaatbeheer bijwerken |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor apparaatregistratiebeleid lezen |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Basiseigenschappen voor apparaatregistratiebeleid bijwerken |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
Beheerder voor naleving
Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsfuncties in Microsoft 365-compliancecentrum, Microsoft 365-beheercentrum, Azure en Office 365 Security & Compliance Center. Toegewezen personen kunnen ook alle functies in het Exchange-beheercentrum en Teams & Skype voor Bedrijven-beheercentrums beheren en ondersteuningstickets maken voor Azure en Microsoft 365. Meer informatie is beschikbaar op Over Microsoft 365 beheerdersrollen.
| In | Wel |
|---|---|
| Microsoft 365-compliancecentrum | De gegevens van uw organisatie beveiligen en beheren Microsoft 365 services Nalevingswaarschuwingen beheren |
| Compliance Manager | Activiteiten op het gebied van naleving van regelgeving van uw organisatie bijhouden, toewijzen en controleren |
| Office 365 Security & Compliance Center | Gegevensgovernance beheren Juridisch onderzoek en gegevensonderzoek uitvoeren Aanvraag van gegevensonderwerp beheren Deze rol heeft dezelfde machtigingen als de rolgroep Nalevingsbeheerder in Office 365 Security & Compliance Center op rollen gebaseerd toegangsbeheer. |
| Intune | Alles weergeven in Intune controleren |
| Cloud App Security | Heeft alleen-lezenmachtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten weergeven onder Gegevensbeheer |
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen lezen in Azure AD-rechtenbeheer |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliance Manager beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Beheerder voor nalevingsgegevens
Gebruikers met deze rol hebben machtigingen om gegevens in de Microsoft 365-compliancecentrum, Microsoft 365-beheercentrum en Azure bij te houden. Gebruikers kunnen ook nalevingsgegevens bijhouden in Exchange-beheercentrum, Compliance Manager en Teams & Skype voor Bedrijven-beheercentrum en ondersteuningstickets maken voor Azure en Microsoft 365. Deze documentatie heeft details over de verschillen tussen nalevingsbeheerder en compliancegegevensbeheerder.
| In | Wel |
|---|---|
| Microsoft 365-compliancecentrum | Nalevingsbeleid voor alle Microsoft 365 bewaken Nalevingswaarschuwingen beheren |
| Compliance Manager | Activiteiten op het gebied van naleving van regelgeving van uw organisatie bijhouden, toewijzen en controleren |
| Office 365 Security & Compliance Center | Gegevensbeheer beheren Juridisch onderzoek en gegevensonderzoek uitvoeren Aanvraag van gegevensonderwerp beheren Deze rol heeft dezelfde machtigingen als de rolgroep Nalevingsgegevensbeheerder in Office 365 Security & Compliance Center op rollen gebaseerd toegangsbeheer. |
| Intune | Alles weergeven in Intune controleren |
| Cloud App Security | Heeft alleen-lezenmachtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten onder de Gegevensbeheer |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in Microsoft Cloud App Security |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliance Manager beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Beheerder van voorwaardelijke toegang
Gebruikers met deze rol hebben de mogelijkheid om Azure Active Directory instellingen voor voorwaardelijke toegang te beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/owners/update | Eigenaren bijwerken voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | De standaardten tenant voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/crossTenantAccessPolicies/create | Toegangsbeleid voor verschillende tenants maken |
| microsoft.directory/crossTenantAccessPolicies/delete | Toegangsbeleid voor alle tenants verwijderen |
| microsoft.directory/crossTenantAccessPolicies/standard/read | Basiseigenschappen van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/owners/read | Eigenaars van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read | De eigenschap policyAppliedTo van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/basic/update | Basiseigenschappen van toegangsbeleid voor verschillende tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicies/owners/update | Eigenaren van toegangsbeleid voor verschillende tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicies/tenantDefault/update | De standaard tenant bijwerken voor toegangsbeleid voor alle tenants |
Toegangsfiatteur voor Klanten-lockbox
Beheert Klanten-lockbox in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox aanvragen en kunnen aanvragen van de Microsoft 365-beheercentrum. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden opnieuw instellen van personen die aan deze rol zijn toegewezen.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Alle aspecten van de Klanten-lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Desktop Analytics-beheerder
Gebruikers met deze rol kunnen de Desktop Analytics beheren. Dit omvat de mogelijkheid om assetinventarisatie weer te geven, implementatieplannen te maken en de implementatie- en statusstatus weer te geven.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Alle aspecten van Desktop Analytics |
Lezers van mappen
Gebruikers met deze rol kunnen basisinformatie over de directory lezen. Deze rol moet worden gebruikt voor:
- Het verlenen van leestoegang aan een specifieke set gastgebruikers in plaats van deze toegang te verlenen aan alle gastgebruikers.
- Het verlenen van een specifieke set niet-beheerderstoegang tot Azure Portal wanneer 'De toegang tot de Azure AD-portal beperken tot alleen beheerders' is ingesteld op Ja.
- Service-principals toegang verlenen tot de map waar Directory.Read.All geen optie is.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Basiseigenschappen van beheereenheden lezen |
| microsoft.directory/administrativeUnits/members/read | Leden van beheereenheden lezen |
| microsoft.directory/applications/standard/read | Standaardeigenschappen van toepassingen lezen |
| microsoft.directory/applications/owners/read | Eigenaren van toepassingen lezen |
| microsoft.directory/applications/policies/read | Beleidsregels van toepassingen lezen |
| microsoft.directory/contacts/standard/read | Basiseigenschappen van contactpersonen in Azure AD lezen |
| microsoft.directory/contacts/memberOf/read | Het groepslidmaatschap voor alle contactpersonen in Azure AD lezen |
| microsoft.directory/contracts/standard/read | Basiseigenschappen van partnercontracten lezen |
| microsoft.directory/devices/standard/read | Basiseigenschappen op apparaten lezen |
| microsoft.directory/devices/memberOf/read | Apparaatlidmaatschap lezen |
| microsoft.directory/devices/registeredOwners/read | Geregistreerde eigenaren van apparaten lezen |
| microsoft.directory/devices/registeredUsers/read | Geregistreerde gebruikers van apparaten lezen |
| microsoft.directory/directoryRoles/standard/read | Basiseigenschappen in Azure AD-rollen lezen |
| microsoft.directory/directoryRoles/eligibleMembers/read | De in aanmerking komende leden van Azure AD-rollen lezen |
| microsoft.directory/directoryRoles/members/read | Alle leden van Azure AD-rollen lezen |
| microsoft.directory/domains/standard/read | Basiseigenschappen van domeinen lezen |
| microsoft.directory/groups/standard/read | Standaardeigenschappen van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/appRoleAssignments/read | Toepassingsroltoewijzingen van groepen lezen |
| microsoft.directory/groups/memberOf/read | Lees de eigenschap memberOf in Beveiligingsgroepen en Microsoft 365 groepen, inclusief aan rollen toewijsbare groepen |
| microsoft.directory/groups/members/read | Leden van beveiligingsgroepen en groepen Microsoft 365 lezen, met inbegrip van aan rollen toewijsbare groepen |
| microsoft.directory/groups/owners/read | Eigenaren van beveiligingsgroepen en Microsoft 365 lezen, inclusief rol toewijsbare groepen |
| microsoft.directory/groups/settings/read | Instellingen van groepen lezen |
| microsoft.directory/groupSettings/standard/read | Basiseigenschappen over groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor groepsinstellingssjablonen lezen |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Basiseigenschappen van OAuth 2.0-machtigingen lezen |
| microsoft.directory/organization/standard/read | Basiseigenschappen in een organisatie lezen |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Vertrouwde certificeringsinstanties lezen voor verificatie zonder wachtwoord |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleid lezen |
| microsoft.directory/roleAssignments/standard/read | Basiseigenschappen van roltoewijzingen lezen |
| microsoft.directory/roleDefinitions/standard/read | Basiseigenschappen van roldefinities lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen voor service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Roltoewijzingen lezen die zijn toegewezen aan service-principals |
| microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
| microsoft.directory/servicePrincipals/memberOf/read | De groepslidmaatschap voor service-principals lezen |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingen voor service-principals lezen |
| microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals lezen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Objecten in eigendom van service-principals lezen |
| microsoft.directory/servicePrincipals/policies/read | Beleidsregels van service-principals lezen |
| microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen van abonnementen lezen |
| microsoft.directory/users/standard/read | Basiseigenschappen van gebruikers lezen |
| microsoft.directory/users/appRoleAssignments/read | Toepassingsroltoewijzingen voor gebruikers lezen |
| microsoft.directory/users/deviceForResourceAccount/read | Apparaat lezenForResourceAccount van gebruikers |
| microsoft.directory/users/directReports/read | De directe rapporten voor gebruikers lezen |
| microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
| microsoft.directory/users/manager/read | Leesbeheerder van gebruikers |
| microsoft.directory/users/memberOf/read | De groepslidmaatschap van gebruikers lezen |
| microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingen voor gebruikers lezen |
| microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
| microsoft.directory/users/ownedObjects/read | Objecten van gebruikers in eigendom lezen |
| microsoft.directory/users/photo/read | Foto van gebruikers lezen |
| microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
| microsoft.directory/users/scopedRoleMemberOf/read | Gebruikerslidmaatschap van een Azure AD-rol lezen die is beperkt tot een beheereenheid |
Adreslijstsynchronisatieaccounts
Niet gebruiken. Deze rol wordt automatisch toegewezen aan de Azure AD Verbinding maken service en is niet bedoeld of ondersteund voor ander gebruik.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Opmerkingen bij het bijwerken van toepassingen |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/organization/dirSync/update | De synchronisatie-eigenschap van de organisatiemap bijwerken |
| microsoft.directory/policies/create | Beleid maken in Azure AD |
| microsoft.directory/policies/delete | Beleid verwijderen in Azure AD |
| microsoft.directory/policies/standard/read | Basiseigenschappen over beleid lezen |
| microsoft.directory/policies/owners/read | Eigenaars van beleid lezen |
| microsoft.directory/policies/policyAppliedTo/read | De eigenschap policies.policyAppliedTo lezen |
| microsoft.directory/policies/basic/update | Basiseigenschappen voor beleid bijwerken |
| microsoft.directory/policies/owners/update | Eigenaren van beleid bijwerken |
| microsoft.directory/policies/tenantDefault/update | Standaardbeleid voor organisaties bijwerken |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor een aanmelding bij service-principals beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Referenties voor een wachtwoord voor een aanmelding bij service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen voor service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Roltoewijzingen lezen die zijn toegewezen aan service-principals |
| microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
| microsoft.directory/servicePrincipals/memberOf/read | De groepslidmaatschap voor service-principals lezen |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingen voor service-principals lezen |
| microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals lezen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Objecten in eigendom van service-principals lezen |
| microsoft.directory/servicePrincipals/policies/read | Beleidsregels van service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Eigenschappen van de doelgroep voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Updatebeleid van service-principals |
| microsoft.directory/servicePrincipals/tag/update | De tag-eigenschap voor service-principals bijwerken |
Adreslijstschrijvers
Gebruikers met deze rol kunnen basisinformatie van gebruikers, groepen en service-principals lezen en bijwerken. Wijs deze rol alleen toe aan toepassingen die het Consent Framework niet ondersteunen. Deze mag niet worden toegewezen aan gebruikers.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/basic/update | Basiseigenschappen voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/classification/update | Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/dynamicMembershipRule/update | De dynamische lidmaatschapsregel voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die kunnen worden toegewezen aan rollen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/onPremWriteBack/update | Werk Azure Active Directory bij om terug te schrijven naar on-premises met Azure AD-Verbinding maken |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | Werk de zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groupSettings/create | Groepsinstellingen maken |
| microsoft.directory/groupSettings/delete | Groepsinstellingen verwijderen |
| microsoft.directory/groupSettings/basic/update | Basiseigenschappen voor groepsinstellingen bijwerken |
| microsoft.directory/oAuth2PermissionGrants/create | OAuth 2.0-machtigingen maken |
| microsoft.directory/oAuth2PermissionGrants/basic/update | OAuth 2.0-machtigingen bijwerken |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor het inrichten van toepassingen beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Een service-principal directe toegang verlenen tot de gegevens van een groep |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Updatebeheer voor gebruikers |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
Domain Name Administrator
Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook mapinformatie lezen over gebruikers, groepen en toepassingen, omdat deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen voor federatie configureren, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Azure AD-services met hun on-premises wachtwoorden via een een aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Azure AD Verbinding maken, zodat gebruikers ook machtigingen hebben voor het beheren van Azure AD-Verbinding maken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Dynamics 365-beheerder
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Dynamics 365 Online wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Meer informatie vindt u in De servicebeheerdersrol gebruiken om uw Azure AD-organisatie te beheren.
Notitie
In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Dynamics 365 Service Administrator'. Het is 'Dynamics 365 Administrator' in de Azure Portal.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Edge-beheerder
Gebruikers met deze rol kunnen de lijst met bedrijfssite's maken en beheren die is vereist Internet Explorer modus op Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt daarnaast toegang tot het beheren van ondersteuningstickets. Meer informatie
| Acties | Beschrijving |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Alle aspecten van de Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Exchange Administrator
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle groepen Microsoft 365 beheren, ondersteuningstickets te beheren en de service health te bewaken. Meer informatie op Over Microsoft 365 beheerdersrollen.
Notitie
In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Exchange Service Administrator'. Het is 'Exchange Administrator' in de Azure Portal. Het is 'Exchange Online administrator' in het Exchange-beheercentrum.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Groepen permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Groepen Microsoft 365 herstellen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.exchange/allEntities/basic/allTasks | Alle aspecten van de Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Exchange Beheerder ontvanger
Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van die ontvangers in Exchange Online. Meer informatie vindt u Exchange Ontvangers.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.exchange/allRecipients/allProperties/allTasks | Maak en verwijder alle ontvangers en lees en werk alle eigenschappen van ontvangers in Exchange Online |
| microsoft.office365.exchange/messageTracking/allProperties/allTasks | Alle taken beheren in het bijhouden van berichten in Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Alle taken beheren die betrekking hebben op de migratie van ontvangers in Exchange Online |
Beheerder van externe id-gebruikersstromen
Gebruikers met deze rol kunnen gebruikersstromen (ook wel ingebouwd beleid genoemd) maken en beheren in de Azure Portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Azure AD-organisatie. Aan de andere kant omvat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework beleidsregels (ook wel aangepaste beleidsregels genoemd) vallen ook buiten het bereik van deze rol.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Gebruikerskenmerken lezen en configureren in Azure Active Directory B2C |
Beheerder van externe id-gebruikersstroomkenmerken
Gebruikers met deze rol voegen aangepaste kenmerken toe of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Azure AD-organisatie. Als zodanig kunnen gebruikers met deze rol nieuwe elementen aan het eindgebruikersschema wijzigen of toevoegen en invloed hebben op het gedrag van alle gebruikersstromen en indirect resulteren in wijzigingen in welke gegevens van eindgebruikers kunnen worden gevraagd en uiteindelijk als claims naar toepassingen worden verzonden. Met deze rol kunnen gebruikersstromen niet worden bewerkt.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Aangepast beleid lezen en configureren in Azure Active Directory B2C |
Beheerder van externe id-providers
Deze beheerder beheert federatie tussen Azure AD-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Azure AD-organisatie in staat stellen om verificaties van externe id-providers te vertrouwen. De resulterende impact op de ervaringen van eindgebruikers is afhankelijk van het type organisatie:
- Azure AD-organisaties voor werknemers en partners: de toevoeging van een federatie (bijvoorbeeld met Gmail) is onmiddellijk van invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als id-provider voor B2B-gastgebruikers.
- Azure Active Directory B2C-organisaties: de toevoeging van een federatie (bijvoorbeeld met Facebook of met een andere Azure AD-organisatie) heeft niet direct invloed op stromen van eindgebruikers totdat de id-provider als optie is toegevoegd aan een gebruikersstroom (ook wel ingebouwd beleid genoemd). Zie Configuring a Microsoft-account as an identity provider (Een Microsoft-account configureren als id-provider) voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol van B2C-Flow administrator vereist.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/identityProviders/allProperties/allTasks | Id-providers lezen en configureren in Azure Active Directory B2C |
Hoofdbeheerder
Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure Active Directory, evenals services die gebruikmaken van Azure Active Directory-identiteiten zoals de Microsoft 365 Defender-portal, de Microsoft 365-compliancecentrum, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Bovendien kunnen globale beheerders hun toegangsbeheer verhogen om alle Azure-abonnementen en -beheergroepen te beheren. Hierdoor kunnen globale beheerders volledige toegang krijgen tot alle Azure-resources met behulp van de respectieve Azure AD-tenant. De persoon die zich voor de Azure AD-organisatie meldt, wordt een globale beheerder. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen.
Notitie
Als best practice raadt Microsoft u aan de rol van globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices voor Azure AD-rollen voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Beheereenheden maken en beheren (inclusief leden) |
| microsoft.directory/applications/allProperties/allTasks | Toepassingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantieren op basis van toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers maken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/read | Standaardeigenschappen van verificatiemethoden voor gebruikers lezen |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Alle aspecten van autorisatiebeleid beheren |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Cloud App Security |
| microsoft.directory/connectors/create | Connectors voor toepassingsproxy maken |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectoren lezen |
| microsoft.directory/connectorGroups/create | Connectorgroepen voor toepassingsproxy maken |
| microsoft.directory/connectorGroups/delete | Connectorgroepen voor toepassingsproxy verwijderen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van connectorgroepen voor toepassingsproxy's lezen |
| microsoft.directory/connectorGroups/allProperties/update | Alle eigenschappen van connectorgroepen voor toepassingsproxy's bijwerken |
| microsoft.directory/contacts/allProperties/allTasks | Contactpersonen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/contracts/allProperties/allTasks | Partnercontracten maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/deletedItems/delete | Permanent objecten verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems/restore | Zacht verwijderde objecten herstellen naar de oorspronkelijke staat |
| microsoft.directory/devices/allProperties/allTasks | Apparaten maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen |
| microsoft.directory/deviceManagementPolicies/basic/update | Basiseigenschappen voor toepassingsbeleid voor apparaatbeheer bijwerken |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor apparaatregistratiebeleid lezen |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Basiseigenschappen voor apparaatregistratiebeleid bijwerken |
| microsoft.directory/directoryRoles/allProperties/allTasks | Maprollen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Azure AD-rolsjablonen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer |
| microsoft.directory/groups/allProperties/allTasks | Groepen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupsAssignableToRoles/create | Groepen maken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/delete | Rol toewijsbare groepen verwijderen |
| microsoft.directory/groupsAssignableToRoles/restore | Rol toewijsbare groepen herstellen |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Rol toewijsbare groepen bijwerken |
| microsoft.directory/groupSettings/allProperties/allTasks | Groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Groepsinstellingssjablonen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/identityProtection/allProperties/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | LoginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/organization/allProperties/allTasks | Alle eigenschappen voor een organisatie lezen en bijwerken |
| microsoft.directory/policies/allProperties/allTasks | Beleid maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Alle eigenschappen van beleid voor voorwaardelijke toegang beheren |
| microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks | Toegangsbeleid voor alle tenants beheren |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/serviceAction/activateService | Kan de actie 'service activeren' voor een service uitvoeren |
| microsoft.directory/serviceAction/disableDirectoryFeature | Kan de serviceactie Mapfunctie uitschakelen uitvoeren |
| microsoft.directory/serviceAction/enableDirectoryFeature | Kan de serviceactie Mapfunctie inschakelen uitvoeren |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan de serviceactie getAvailableExtentionProperties uitvoeren |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Toestemming verlenen voor elke toepassing |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Een service-principal directe toegang verlenen tot de gegevens van een groep |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Abonnementen kopen en beheren en abonnementen verwijderen |
| microsoft.directory/users/allProperties/allTasks | Gebruikers maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/permissionGrantPolicies/create | Beleid voor het verlenen van machtigingen maken |
| microsoft.directory/permissionGrantPolicies/delete | Beleid voor het verlenen van machtigingen verwijderen |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleidsregels voor machtigingen verlenen lezen |
| microsoft.directory/permissionGrantPolicies/basic/update | Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/servicePrincipalCreationPolicies/create | Beleid voor het maken van een service-principal maken |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Beleid voor het maken van service-principals verwijderen |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Standaardeigenschappen van beleid voor het maken van service-principals lezen |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Basiseigenschappen van beleid voor het maken van service-principals bijwerken |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een verifieerbare referentiekaart lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Een verifieerbare referentiekaart intrekken |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Een verifieerbaar referentiecontract maken |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een verifieerbaar referentiecontract lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Een verifieerbaar referentiecontract bijwerken |
| microsoft.directory/verifiableCredentials/configuration/create | Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/delete | Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties en het verwijderen van alle verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Alle aspecten van Azure Advanced Threat Protection beheren |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van de Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.commerce.billing/allEntities/allTasks | Alle aspecten van Office 365 beheren |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.edge/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Alle aspecten van Microsoft Power Automate |
| microsoft.intune/allEntities/allTasks | Alle aspecten van de Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliance Manager beheren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Alle aspecten van de Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Alle aspecten van de Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Alle eigenschappen van inhoudskennis lezen en bijwerken in Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Analytische rapporten lezen over inhoudskennis in Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Alle eigenschappen van het kennisnetwerk in de Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zichtbaarheid van onderwerp van kennisnetwerk in Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Leerbronnen en alle eigenschappen in de app Learning beheren. |
| microsoft.office365.lockbox/allEntities/allTasks | Alle aspecten van de Klanten-lockbox |
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Alle aspecten van de Security & Compliance Centers beheren |
| microsoft.office365.search/content/manage | Maak en verwijder inhoud en lees en werk alle eigenschappen in Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in het Office 365 Security & Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.sharePoint/allEntities/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.userCommunication/allEntities/allTasks | Lees en werk de zichtbaarheid van nieuwe berichten bij |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
| microsoft.powerApps/allEntities/allTasks | Alle aspecten van de Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Alle aspecten van de Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Alle resources in Teams |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Alle aspecten van Microsoft Defender for Endpoint beheren |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Alle aspecten van de updateservice Windows en configureren |
Algemene lezer
Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365 lezen, maar kunnen geen beheeracties ondernemen. Globale lezer is de alleen-lezen tegenhanger voor globale beheerder. Wijs globale lezer toe in plaats van een globale beheerder voor planning, controles of onderzoek. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange Administrator, om het gemakkelijker te maken om werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Beveiligingscentrum, Compliancecentrum, Azure AD-beheercentrum en Beheercentrum voor apparaatbeheer.
Notitie
De rol van globale lezer kent op dit moment enkele beperkingen:
- OneDrive-beheercentrum: OneDrive-beheercentrum biedt geen ondersteuning voor de rol Van globale lezer
- Microsoft 365-beheercentrum: globale lezer kan geïntegreerde apps niet lezen. U vindt het tabblad Geïntegreerde apps niet onder Instellingen in het linkerdeelvenster van Microsoft 365-beheercentrum.
- Office Security & Compliance Center : globale lezer kan geen SCC-auditlogboeken lezen, inhoud zoeken of Beveiligingsscore bekijken.
- Teams-beheercentrum: globale lezer kan de levenscyclus van Teams analytics niet lezen, & rapporten, IP-telefoonapparaatbeheer en App-catalogus.
- Privileged Access Management (PAM) biedt geen ondersteuning voor de rol Globale lezer.
- Azure Information Protection: globale lezer wordt alleen ondersteund voor centrale rapportage en wanneer uw Azure AD-organisatie zich niet op het unified labeling-platform (unified labeling) gebruikt.
- SharePoint: globale lezer heeft momenteel geen toegang tot SharePoint met behulp van PowerShell.
Deze functies zijn momenteel in ontwikkeling.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | Alle eigenschappen van toegangsbeoordelingen lezen |
| microsoft.directory/administrativeUnits/allProperties/read | Alle eigenschappen van beheereenheden lezen |
| microsoft.directory/applications/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) voor alle typen toepassingen lezen |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | Bitlocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/cloudAppSecurity/allProperties/read | Alle eigenschappen voor Cloud App Security lezen |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectoren lezen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van connectorgroepen voor toepassingsproxy lezen |
| microsoft.directory/contacts/allProperties/read | Alle eigenschappen voor contactpersonen lezen |
| microsoft.directory/devices/allProperties/read | Alle eigenschappen op apparaten lezen |
| microsoft.directory/directoryRoles/allProperties/read | Alle eigenschappen voor Azure AD-rollen lezen |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Alle eigenschappen voor rolsjablonen lezen |
| microsoft.directory/domains/allProperties/read | Alle eigenschappen van domeinen lezen |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen lezen in Azure AD-rechtenbeheer |
| microsoft.directory/groups/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) lezen in beveiligingsgroepen en Microsoft 365 groepen, met inbegrip van groepen die kunnen worden toegewezen aan rollen |
| microsoft.directory/groupSettings/allProperties/read | Alle eigenschappen van groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/allProperties/read | Alle eigenschappen van groepsinstellingssjablonen lezen |
| microsoft.directory/identityProtection/allProperties/read | Alle resources in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Alle eigenschappen voor de aanmeldingspagina met huismerk van uw organisatie lezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Alle eigenschappen van OAuth 2.0-machtigingen lezen |
| microsoft.directory/organization/allProperties/read | Alle eigenschappen voor een organisatie lezen |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleidsregels voor machtigingen verlenen lezen |
| microsoft.directory/policies/allProperties/read | Alle eigenschappen van beleid lezen |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Alle eigenschappen van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/crossTenantAccessPolicies/allProperties/read | Alle eigenschappen van beleid voor verschillende tenants lezen |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor apparaatregistratiebeleid lezen |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/roleAssignments/allProperties/read | Alle eigenschappen van roltoewijzingen lezen |
| microsoft.directory/roleDefinitions/allProperties/read | Alle eigenschappen van roldefinities lezen |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Leden in beheereenheden weergeven |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan de serviceactie getAvailableExtentionProperties uitvoeren |
| microsoft.directory/servicePrincipals/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) lezen in servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Standaardeigenschappen van beleid voor het maken van service-principals lezen |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/subscribedSkus/allProperties/read | Alle eigenschappen van productabonnementen lezen |
| microsoft.directory/users/allProperties/read | Alle eigenschappen van gebruikers lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een verifieerbare referentiekaart lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een verifieerbaar referentiecontract lezen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties |
| microsoft.cloudPC/allEntities/allProperties/read | Alle aspecten van Windows 365 lezen |
| microsoft.commerce.billing/allEntities/read | Lees alle resources van Office 365 facturering |
| microsoft.edge/allEntities/allProperties/read | Lees alle aspecten van Microsoft Edge |
| microsoft.office365.exchange/allEntities/standard/read | Alle resources van Exchange Online |
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Alle eigenschappen in de beveiligings- en nalevingscentrums lezen |
| microsoft.office365.securityComplianceCenter/allEntities/read | Standaardeigenschappen lezen in Microsoft 365 Security and Compliance Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/allEntities/allProperties/read | Lees alle aspecten van Microsoft Teams |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Lees alle aspecten van Windows Update-service |
Groepsbeheerder
Gebruikers met deze rol kunnen groepen en de instellingen ervan maken/beheren, zoals naamgeving en verloopbeleid. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan deze rol hen de mogelijkheid biedt om alle groepen in de organisatie te beheren in verschillende workloads, zoals Teams, SharePoint en Yammer, naast Outlook. De gebruiker kan ook de verschillende instellingen voor groepen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, Azure Portal, evenals workloadspecifieke instellingen zoals Teams en SharePoint-beheercentrums.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Groepen permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en groepen Microsoft 365 verwijderen, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, inclusief groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/restore | Verwijderde groepen herstellen |
| microsoft.directory/groups/basic/update | Basiseigenschappen van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/classification/update | Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van rol-toewijsbare groepen |
| microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en groepen Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/onPremWriteBack/update | Werk Azure Active Directory groepen bij die moeten worden teruggeschreven naar on-premises met Azure AD-Verbinding maken |
| microsoft.directory/groups/owners/update | Update owners of Security groups and Microsoft 365 groups, excluding role-assignable groups |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | De zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Een service-principal directe toegang verlenen tot de gegevens van een groep |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Afzender van gastuitnodigingen
Gebruikers met deze rol kunnen Azure Active Directory B2B-uitnodigingen voor gastgebruikers beheren wanneer de gebruikersinstelling Leden kunnen uitnodigen is ingesteld op Nee. Meer informatie over B2B-samenwerking vindt u in About Azure AD B2B collaboration (Over Azure AD B2B-samenwerking). Het bevat geen andere machtigingen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/standard/read | Basiseigenschappen van gebruikers lezen |
| microsoft.directory/users/appRoleAssignments/read | Toepassingsroltoewijzingen voor gebruikers lezen |
| microsoft.directory/users/deviceForResourceAccount/read | Apparaat lezenForResourceAccount van gebruikers |
| microsoft.directory/users/directReports/read | De directe rapporten voor gebruikers lezen |
| microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
| microsoft.directory/users/manager/read | Leesbeheerder van gebruikers |
| microsoft.directory/users/memberOf/read | De groepslidmaatschap van gebruikers lezen |
| microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingen voor gebruikers lezen |
| microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
| microsoft.directory/users/ownedObjects/read | Objecten van gebruikers in eigendom lezen |
| microsoft.directory/users/photo/read | Foto van gebruikers lezen |
| microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
| microsoft.directory/users/scopedRoleMemberOf/read | Gebruikerslidmaatschap van een Azure AD-rol lezen die is beperkt tot een beheereenheid |
Helpdeskbeheerder
Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, serviceaanvragen beheren en de service health bewaken. Als u een vernieuwings token ongeldig maakt, wordt de gebruiker weer om zich aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol die aan de gebruiker is toegewezen. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een helpdeskbeheerder kan gebruiken om wachtwoorden opnieuw in te stellen en vernieuwingstokens ongeldig te maken.
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Het wijzigen van het wachtwoord van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:
- Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders niet verleend aan helpdeskbeheerders. Via dit pad kan een helpdeskbeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure.
- Beveiligingsgroep en Microsoft 365, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure AD en elders.
- Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridische medewerkers en medewerkers van human resources die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.
Het delegeren van beheerdersmachtigingen over subsets van gebruikers en het toepassen van beleid op een subset van gebruikers is mogelijk met beheereenheden.
Deze rol werd eerder 'Wachtwoordbeheerder' genoemd in de Azure Portal. De naam van de helpdeskbeheerder in Azure AD komt nu overeen met de naam in Azure AD PowerShell en de Microsoft Graph API.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Bitlocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Hybrid Identity-beheerder
Gebruikers met deze rol kunnen configuratie-instellingen voor inrichting maken, beheren en implementeren van AD naar Azure AD met behulp van Cloud provisioning, en Azure AD-Verbinding maken en federatie-instellingen beheren. Gebruikers kunnen ook problemen met logboeken oplossen en bewaken met behulp van deze rol.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantieren op basis van toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Alle eigenschappen van Azure AD Cloud Provisioning Service lezen en configureren. |
| microsoft.directory/deletedItems.applications/delete | Permanent verwijderen van toepassingen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.applications/restore | Herstellen van de oorspronkelijke status van de toepassingen die zijn verwijderd |
| microsoft.directory/domains/allProperties/read | Alle eigenschappen van domeinen lezen |
| microsoft.directory/domains/federation/update | Federatie-eigenschap van domeinen bijwerken |
| microsoft.directory/organization/dirSync/update | De synchronisatie-eigenschap van de organisatiemap bijwerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor het inrichten van toepassingen beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/audience/update | Eigenschappen van de doelgroep voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tag-eigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Identity Governance-beheerder
Gebruikers met deze rol kunnen de configuratie van Identiteitsbeheer van Azure AD beheren, waaronder toegangspakketten, toegangsbeoordelingen, catalogi en beleid, om ervoor te zorgen dat toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen, en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
Insights-beheerder
Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft 365 Insights toepassing. Deze rol biedt de mogelijkheid om mapgegevens te lezen, de status van de service te bewaken, ondersteuningstickets voor bestanden te gebruiken en toegang te krijgen tot de Insights beheerdersinstellingen.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.insights/allEntities/allTasks | Alle aspecten van een app Insights beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Insights-bedrijfsleider
Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft 365 Insights toepassing. Dit omvat volledige toegang tot alle dashboards en functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot de configuratie-instellingen van het product. Dit is de verantwoordelijkheid van de Insights beheerdersrol.
| Acties | Beschrijving |
|---|---|
| microsoft.insights/reports/read | Rapporten en dashboards weergeven in Insights app |
| microsoft.insights/programs/update | Programma's implementeren en beheren in Insights app |
Intune-beheerder
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te koppelen, en om groepen te maken en te beheren. Zie Op rollen gebaseerd beheerbeheer (RBAC) met Microsoft Intune.
Met deze rol kunt u alle beveiligingsgroepen maken en beheren. De Intune-beheerder heeft echter geen beheerdersrechten voor Office groepen. Dit betekent dat de beheerder geen eigenaren of lidmaatschappen van alle Office in de organisatie kan bijwerken. Hij/zij kan echter de Office die hij maakt, die deel uitmaakt van zijn/haar eindgebruikersbevoegdheden. Dus elke Office groep (geen beveiligingsgroep) die hij/zij maakt, moet worden meegetelde in zijn/haar quotum van 250.
Notitie
In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Intune-servicebeheerder'. Het is 'Intune-beheerder' in de Azure Portal.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/contacts/create | Contactpersonen maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen van contactpersonen bijwerken |
| microsoft.directory/devices/create | Apparaten maken (inschrijven bij Azure AD) |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Azure AD |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Azure AD |
| microsoft.directory/devices/enable | Apparaten inschakelen in Azure AD |
| microsoft.directory/devices/basic/update | Basiseigenschappen op apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet1/update | De extensionAttribute1 bijwerken naar extensionAttribute5-eigenschappen op apparaten |
| microsoft.directory/devices/extensionAttributeSet2/update | De extensionAttribute6 bijwerken naar extensionAttribute10-eigenschappen op apparaten |
| microsoft.directory/devices/extensionAttributeSet3/update | De extensionAttribute11 bijwerken naar extensionAttribute15-eigenschappen op apparaten |
| microsoft.directory/devices/registeredOwners/update | Geregistreerde eigenaren van apparaten bijwerken |
| microsoft.directory/devices/registeredUsers/update | Geregistreerde gebruikers van apparaten bijwerken |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor apparaatregistratiebeleid lezen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en groepen Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/classification/update | De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Dynamische lidmaatschapsregel van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/visibility/update | De zichtbaarheids-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Updatebeheer voor gebruikers |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.intune/allEntities/allTasks | Alle aspecten van Microsoft Intune |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Kaizala-beheerder
Gebruikers met deze rol hebben globale machtigingen voor het beheren van instellingen binnen Microsoft Kaizala, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten met betrekking tot de acceptatie & gebruik van Kaizala door leden van de organisatie en zakelijke rapporten die zijn gegenereerd met behulp van de Kaizala acties.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Kennisbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in de Microsoft 365-beheercentrum. Ze hebben een algemeen begrip van de suite met producten, licentiegegevens en zijn verantwoordelijk voor het beheer van de toegang. Kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentra maken, de service health bewaken en serviceaanvragen maken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/createAsOwner | Maak Beveiligingsgroepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Alle eigenschappen van inhoudskennis lezen en bijwerken in Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Alle eigenschappen van het kennisnetwerk in de Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Leerbronnen en al hun eigenschappen beheren in Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Alle eigenschappen van gevoeligheidslabels lezen in de beveiligings- en nalevingscentra |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Knowledge Manager
Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Deze gebruikers zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van de kennis. Deze gebruiker heeft volledige rechten voor acties voor onderwerpbeheer om een onderwerp te bevestigen, bewerkingen goed te keuren of een onderwerp te verwijderen. Deze rol kan ook taxonomie beheren als onderdeel van het term winkelbeheerprogramma en het maken van inhoudscentra.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/createAsOwner | Maak Beveiligingsgroepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Analyserapporten van inhoudskennis lezen in Microsoft 365-beheercentrum |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zichtbaarheid van onderwerp van kennisnetwerk in Microsoft 365-beheercentrum |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Licentiebeheerder
Gebruikers met deze rol kunnen licentietoewijzingen toevoegen, verwijderen en bijwerken voor gebruikers, groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of te beheren, of om gebruikers buiten de gebruikslocatie te maken of te beheren. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/usageLocation/update | Gebruikslocatie van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Berichtencentrum-privacylezer
Gebruikers met deze rol kunnen alle meldingen in de Berichtencentrum, inclusief privacyberichten over gegevens. Berichtencentrum privacylezers ontvangen e-mailmeldingen met betrekking tot gegevensbescherming en ze kunnen zich afmelden met behulp van Berichtencentrum Voorkeuren. Alleen de globale beheerder en de Berichtencentrum privacylezer kunnen privacyberichten over gegevens lezen. Daarnaast bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen weer te geven. Deze rol heeft geen machtiging voor het weergeven, maken of beheren van serviceaanvragen.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Berichtencentrum-lezer
Gebruikers met deze rol kunnen meldingen en advies over statusupdates in Berichtencentrum voor hun organisatie controleren voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum lezers wekelijkse samenvattingen van berichten en updates ontvangen en berichten van berichtencentrums kunnen delen in Microsoft 365. In Azure AD hebben gebruikers die zijn toegewezen aan deze rol alleen-lezentoegang tot Azure AD-services, zoals gebruikers en groepen. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Moderne Commerce-gebruiker
Niet gebruiken. Deze rol wordt automatisch toegewezen vanuit Commerce en is niet bedoeld of ondersteund voor ander gebruik. Zie hieronder voor meer informatie.
De rol Modern Commerce-gebruiker geeft bepaalde gebruikers toestemming om toegang te krijgen tot Microsoft 365-beheercentrum en bekijk de linkernavigatiegegevens voor Start, Facturering en Ondersteuning. De inhoud die in deze gebieden beschikbaar is, wordt beheerd door commerce-specifieke rollen die zijn toegewezen aan gebruikers voor het beheren van producten die ze voor zichzelf of uw organisatie hebben gekocht. Dit kunnen taken zijn zoals het betalen van facturen of voor toegang tot factureringsrekeningen en factureringsprofielen.
Gebruikers met de rol Modern Commerce-gebruiker hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben geen globale beheerder- of factureringsbeheerderrollen die worden gebruikt voor toegang tot het beheercentrum.
Wanneer wordt de rol Modern Commerce-gebruiker toegewezen?
- Selfserviceaankoop in Microsoft 365-beheercentrum: selfserviceaankoop biedt gebruikers de mogelijkheid om nieuwe producten uit te proberen door ze zelf te kopen of te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfserviceaankoop doen, krijgen een rol toegewezen in het commercesysteem en de rol Modern Commerce-gebruiker, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheerders kunnen selfserviceaankopen blokkeren (voor Power BI, Power Apps, Power automate) via PowerShell. Zie Veelgestelde vragen over aankopen via self-service voor meer informatie.
- Aankopen via de commerciële marketplace van Microsoft: net als bij aankopen via self-service wordt de rol Modern Commerce-gebruiker toegewezen wanneer een gebruiker een product of service van Microsoft AppSource of Azure Marketplace koopt als deze niet de rol van globale beheerder of factureringsbeheerder heeft. In sommige gevallen kunnen gebruikers deze aankopen mogelijk niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
- Voorstellen van Microsoft: een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert geen rol van globale beheerder of factureringsbeheerder heeft in Azure AD, krijgt deze persoon zowel een commerce-specifieke rol om het voorstel te voltooien als de rol Modern Commerce-gebruiker om toegang te krijgen tot het beheercentrum. Wanneer ze toegang hebben tot het beheercentrum, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
- Commerce-specifieke rollen: aan sommige gebruikers zijn handelsspecifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol Modern Commerce-gebruiker, zodat deze toegang heeft tot het beheercentrum.
Als de rol Modern Commerce-gebruiker niet is toegewezen aan een gebruiker, heeft deze geen toegang meer tot Microsoft 365-beheercentrum. Als ze producten voor zichzelf of voor uw organisatie beheren, kunnen ze ze niet beheren. Dit kan bestaan uit het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen.
| Acties | Beschrijving |
|---|---|
| microsoft.commerce.billing/partners/read | Partner-eigenschap van Microsoft 365 Facturering lezen |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Alle aspecten van het Volume Licensing Service Center beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/basic/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Netwerkbeheerder
Gebruikers met deze rol kunnen aanbevelingen voor netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerk-telemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van een zorgvuldige bedrijfsnetwerkperimeterarchitectuur die doorgaans specifiek is voor de gebruikerslocatie. Met deze rol kunt u de gevonden gebruikerslocaties en de configuratie van netwerkparameters voor deze locaties bewerken om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken
| Acties | Beschrijving |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Alle aspecten van netwerklocaties beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Beheerder van Office-apps
Gebruikers met deze rol kunnen de cloudinstellingen Microsoft 365 apps beheren. Dit omvat het beheren van cloudbeleid, selfservice downloadbeheer en de mogelijkheid om een rapport Office apps weer te geven. Deze rol biedt bovendien de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken in het hoofdbeheerderscentrum. Gebruikers die aan deze rol zijn toegewezen, kunnen ook de communicatie van nieuwe functies in Office beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.userCommunication/allEntities/allTasks | Lees en werk de zichtbaarheid van nieuwe berichten bij |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Laag1-ondersteuning voor partner
Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Azure AD. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-partners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen wachtwoorden opnieuw worden ingesteld en vernieuwingstokens alleen voor niet-beheerders ongeldig worden. Deze rol mag niet worden gebruikt omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/contacts/create | Contactpersonen maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/restore | Verwijderde groepen herstellen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Updatebeheer voor gebruikers |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Laag2-ondersteuning voor partner
Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Azure AD. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-partners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen wachtwoorden opnieuw worden ingesteld en vernieuwingstokens voor alle niet-beheerders en beheerders (inclusief globale beheerders) ongeldig worden. Deze rol mag niet worden gebruikt omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/audience/update | De doelgroep-eigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | Verificatie bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | Eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/contacts/create | Contactpersonen maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/restore | Verwijderde groepen herstellen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/organization/basic/update | Basiseigenschappen van de organisatie bijwerken |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen voor abonnementen lezen |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Updatebeheer voor gebruikers |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Wachtwoordbeheerder
Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de service health te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol die aan de gebruiker is toegewezen. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen voor wie een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Power BI Administrator
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Meer informatie vindt u in Inzicht in Power BI beheerdersrol.
Notitie
In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Power BI Service Administrator'. Het is 'Power BI Administrator' in de Azure Portal.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
| microsoft.powerApps.powerBI/allEntities/allTasks | Alle aspecten van Power BI |
Power Platform-beheerder
Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid ter preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.flow/allEntities/allTasks | Alle aspecten van Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
| microsoft.powerApps/allEntities/allTasks | Alle aspecten van de Power Apps |
Printerbeheerder
Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universeel afdrukken-oplossing beheren, met inbegrip van de instellingen Universeel afdrukken Connector. Ze kunnen toestemming geven voor alle gedelegeerde afdrukmachtigingsaanvragen. Printerbeheerders hebben ook toegang tot afdrukrapporten.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken |
Printertechnicus
Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universeel afdrukken oplossing. Ze kunnen ook alle connectorgegevens lezen. De belangrijkste taak die een printertechnicus niet kan uitvoeren, is het instellen van gebruikersmachtigingen voor printers en het delen van printers.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Alle eigenschappen van connectors lezen in Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Alle eigenschappen van printers lezen in Microsoft Print |
| microsoft.azure.print/printers/register | Printers registreren in Microsoft Print |
| microsoft.azure.print/printers/unregister | Registratie van printers in Microsoft Print ongedaan maken |
| microsoft.azure.print/printers/basic/update | Basiseigenschappen van printers bijwerken in Microsoft Print |
Bevoorrechte verificatiebeheerder
Gebruikers met deze rol kunnen elke verificatiemethode (inclusief wachtwoorden) instellen of opnieuw instellen voor elke gebruiker, inclusief globale beheerders. Beheerders met bevoegde verificatie kunnen gebruikers dwingen zich opnieuw te registreren op basis van bestaande niet-wachtwoordreferenties (zoals MFA of FIDO) en 'MFA onthouden op het apparaat' in te trekken, en vragen om MFA bij de volgende aanmelding van alle gebruikers.
De rol Verificatiebeheerder heeft toestemming om herregistratie en meervoudige verificatie af te dwingen voor standaardgebruikers en gebruikers met bepaalde beheerdersrollen.
De rol Verificatiebeleidsbeheerder heeft machtigingen om het verificatiemethodebeleid van de tenant in te stellen waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
| Rol | Auth-methoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Beleid voor de auth-methode beheren | Wachtwoordbeveiligingsbeleid beheren |
|---|---|---|---|---|---|
| Verificatiebeheerder | Ja voor sommige gebruikers (zie hierboven) | Ja voor sommige gebruikers (zie hierboven) | Nee | Nee | Nee |
| Bevoorrechte verificatiebeheerder | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee |
| Verificatiebeleidsbeheerder | Nee | Nee | Ja | Ja | Ja |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie binnen en buiten Azure Active Directory. Het wijzigen van de referenties van een gebruiker kan betekenen dat u de identiteit en machtigingen van de gebruiker kunt aannemen. Bijvoorbeeld:
- Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie in Azure.
- Beveiligingsgroep en Microsoft 365, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
- Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridische medewerkers en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.
Belangrijk
Deze rol is momenteel niet geschikt voor het beheren van MFA per gebruiker in de verouderde MFA-beheerportal. Dezelfde functies kunnen worden uitgevoerd met behulp van de Azure AD Powershell-module Set-MsolUser-commandlet.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers maken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/read | Standaardeigenschappen van verificatiemethoden voor gebruikers lezen |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Beheerder voor bevoorrechte rollen
Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure Active Directory en in Azure AD-Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Azure AD-rollen. Daarnaast kunt u met deze rol alle aspecten van Privileged Identity Management beheereenheden beheren.
Belangrijk
Deze rol verleent de mogelijkheid om toewijzingen te beheren voor alle Azure AD-rollen, met inbegrip van de rol Globale beheerder. Deze rol omvat geen andere bevoorrechte mogelijkheden in Azure AD, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen zichzelf of anderen echter extra bevoegdheden verlenen door extra rollen toe te wijzen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/administrativeUnits/allProperties/allTasks | Beheereenheden maken en beheren (inclusief leden) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Alle aspecten van autorisatiebeleid beheren |
| microsoft.directory/directoryRoles/allProperties/allTasks | Maprollen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupsAssignableToRoles/create | Groepen maken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/delete | Rol toewijsbare groepen verwijderen |
| microsoft.directory/groupsAssignableToRoles/restore | Rol toewijsbare groepen herstellen |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Rol toewijsbare groepen bijwerken |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Machtigingen voor OAuth 2.0 maken en verwijderen, en alle eigenschappen lezen en bijwerken |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen, en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Toestemming verlenen voor elke toepassing |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Rapportenlezer
Gebruikers met deze rol kunnen gebruiksrapportagegegevens en het rapportdashboard bekijken in Microsoft 365-beheercentrum en het contextpakket voor acceptatie in Power BI. Daarnaast biedt de rol toegang tot aanmeldingsrapporten en -activiteiten in Azure AD en gegevens die worden geretourneerd door de Microsoft Graph Reporting API. Een gebruiker die is toegewezen aan de rol Rapportlezer heeft alleen toegang tot relevante metrische gegevens over gebruik en acceptatie. Ze hebben geen beheerdersmachtigingen om instellingen te configureren of toegang te krijgen tot de productspecifieke beheercentrums, zoals Exchange. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Zoekbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search-beheerfuncties in de Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de service health bewaken en serviceaanvragen maken.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.search/content/manage | Inhoud maken en verwijderen, en alle eigenschappen in de Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Zoekredacteur
Gebruikers met deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in de Microsoft 365-beheercentrum, inclusief bladwijzers, Q&As en locaties.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten |
| microsoft.office365.search/content/manage | Inhoud maken en verwijderen, en alle eigenschappen in de Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Beveiligingsbeheer
Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsfuncties in de Microsoft 365 Defender-portal, Azure Active Directory Identity Protection, Azure Active Directory-verificatie, Azure Information Protection en Office 365 Security & Compliancecentrum. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.
| In | Wel |
|---|---|
| Microsoft 365 Security Center | Beveiligingsbeleid voor alle Microsoft 365 bewaken Beveiligingsrisico's en -waarschuwingen beheren Rapporten weergeven |
| Identity Protection Center | Alle machtigingen van de rol Beveiligingslezer Daarnaast is het mogelijk om alle bewerkingen van Identity Protection Center uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden |
| Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer Kan geen Azure AD-roltoewijzingen of -instellingen beheren |
| Office 365 Security & Compliance Center | Beveiligingsbeleid beheren Beveiligingsrisico's weergeven, onderzoeken en hierop reageren Rapporten weergeven |
| Azure Advanced Threat Protection | Verdachte beveiligingsactiviteit bewaken en hierop reageren |
| Windows Defender ATP en EDR | Rollen toewijzen Machinegroepen beheren Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren Waarschuwingen weergeven, onderzoeken en hierop reageren |
| Intune | Gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens worden bekeken Kan geen wijzigingen aanbrengen in Intune |
| Cloud App Security | Beheerders toevoegen, beleid en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren |
| Microsoft 365 service health | De status van de Microsoft 365 weergeven |
| Slimme vergrendeling | Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden. |
| Wachtwoordbeveiliging | Aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging configureren. |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/policies/update | Beleidsregels van toepassingen bijwerken |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen lezen in Azure AD-rechtenbeheer |
| microsoft.directory/identityProtection/allProperties/read | Alle resources in de Azure AD Identity Protection |
| microsoft.directory/identityProtection/allProperties/update | Alle resources in de Azure AD Identity Protection |
| microsoft.directory/policies/create | Beleid maken in Azure AD |
| microsoft.directory/policies/delete | Beleid verwijderen in Azure AD |
| microsoft.directory/policies/basic/update | Basiseigenschappen voor beleid bijwerken |
| microsoft.directory/policies/owners/update | Eigenaren van beleid bijwerken |
| microsoft.directory/policies/tenantDefault/update | Standaardbeleid voor organisaties bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/owners/update | Eigenaren bijwerken voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | De standaardten tenant voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/crossTenantAccessPolicies/create | Toegangsbeleid voor verschillende tenants maken |
| microsoft.directory/crossTenantAccessPolicies/delete | Toegangsbeleid voor alle tenants verwijderen |
| microsoft.directory/crossTenantAccessPolicies/standard/read | Basiseigenschappen van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/owners/read | Eigenaars van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read | De eigenschap policyAppliedTo van toegangsbeleid voor verschillende tenants lezen |
| microsoft.directory/crossTenantAccessPolicies/basic/update | Basiseigenschappen van toegangsbeleid voor verschillende tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicies/owners/update | Eigenaren van toegangsbeleid voor verschillende tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicies/tenantDefault/update | De standaard tenant bijwerken voor toegangsbeleid voor alle tenants |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/policies/update | Updatebeleid van service-principals |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.protectionCenter/allEntities/standard/read | Standaardeigenschappen van alle resources in de beveiligings- en compliancecentrums lezen |
| microsoft.office365.protectionCenter/allEntities/basic/update | Basiseigenschappen van alle resources in de beveiligings- en nalevingscentrums bijwerken |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Sjablonen voor aanvalssimulatie maken en beheren in de aanvalssimulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Beveiligingsoperator
Gebruikers met deze rol kunnen waarschuwingen beheren en hebben wereldwijde alleen-lezentoegang tot beveiligingsfuncties, waaronder alle informatie in Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management en Office 365 Security & Compliance Center. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.
| In | Wel |
|---|---|
| Microsoft 365 Security Center | Alle machtigingen van de rol Beveiligingslezer Waarschuwingen voor beveiligingsrisico's weergeven, onderzoeken en hierop reageren Beveiligingsinstellingen beheren in Security Center |
| Azure AD-identiteitsbeveiliging | Alle machtigingen van de rol Beveiligingslezer Daarnaast is het mogelijk om alle Bewerkingen van Identity Protection Center uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden en het configureren van waarschuwings-e-mailberichten. |
| Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer |
| Office 365 Security & Compliance Center | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen weergeven, onderzoeken en hierop reageren |
| Windows Defender ATP en EDR | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen weergeven, onderzoeken en hierop reageren |
| Intune | Alle machtigingen van de rol Beveiligingslezer |
| Cloud App Security | Alle machtigingen van de rol Beveiligingslezer |
| Microsoft 365 service health | De status van de Microsoft 365 weergeven |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in Microsoft Cloud App Security |
| microsoft.directory/identityProtection/allProperties/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in Azure AD Identity Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Alle aspecten van Azure Advanced Threat Protection beheren |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.intune/allEntities/read | Alle resources in Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in het Office 365 Security & Compliance Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Alle aspecten van Microsoft Defender for Endpoint beheren |
Beveiligingslezer
Gebruikers met deze rol hebben globale alleen-lezentoegang tot beveiligingsgerelateerde functies, inclusief alle informatie in Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management, evenals de mogelijkheid om te lezen Azure Active Directory aanmeldrapporten en auditlogboeken en in Office 365 Security & Compliance Center. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.
| In | Wel |
|---|---|
| Microsoft 365 Security Center | Beveiligingsbeleid voor alle Microsoft 365 weergeven Beveiligingsrisico's en -waarschuwingen weergeven Rapporten weergeven |
| Identity Protection Center | Lees alle beveiligingsrapporten en instellingeninformatie voor beveiligingsfuncties
|
| Privileged Identity Management | Heeft alleen-lezentoegang tot alle informatie die in Azure AD wordt Privileged Identity Management: Beleidsregels en rapporten voor Azure AD-roltoewijzingen en beveiligingsbeoordelingen. Kan niet registreren voor Azure AD-Privileged Identity Management of wijzigingen aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand met deze rol aanvullende rollen activeren (bijvoorbeeld Globale beheerder of Beheerder met bevoorrechte rol), als de gebruiker hiervoor in aanmerking komt. |
| Office 365 Security & Compliance Center | Beveiligingsbeleid bekijken Beveiligingsrisico's weergeven en onderzoeken Rapporten weergeven |
| Windows Defender ATP en EDR | Waarschuwingen weergeven en onderzoeken. Wanneer u op rollen gebaseerd toegangsbeheer in Windows Defender ATP in bedrijf hebt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Azure AD-beveiligingslezer, de toegang totdat ze zijn toegewezen aan een Windows Defender ATP-rol. |
| Intune | kan alleen gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergeven. Kan geen wijzigingen aan Intune aanbrengen. |
| Cloud App Security | Heeft leesmachtigingen en kan waarschuwingen beheren |
| Microsoft 365 service health | De status van de Microsoft 365 weergeven |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | Bitlocker-metagegevens en -sleutel lezen op apparaten |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen lezen in Azure AD-rechtenbeheer |
| microsoft.directory/identityProtection/allProperties/read | Alle resources in Azure AD Identity Protection |
| microsoft.directory/policies/standard/read | Basiseigenschappen over beleid lezen |
| microsoft.directory/policies/owners/read | Eigenaars van beleid lezen |
| microsoft.directory/policies/policyAppliedTo/read | De eigenschap policies.policyAppliedTo lezen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.protectionCenter/allEntities/standard/read | Standaardeigenschappen van alle resources in de beveiligings- en compliancecentrums lezen |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Alle eigenschappen van nettoladingen van aanvallen in de aanvalssimulator lezen |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Alle eigenschappen van sjablonen voor aanvalssimulatie lezen in Attack Simulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Serviceondersteuningsbeheerder
Gebruikers met deze rol kunnen ondersteuningsaanvragen openen bij Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure Portal en Microsoft 365-beheercentrum. Meer informatie op Over beheerdersrollen.
Notitie
Voorheen heette deze rol 'Servicebeheerder' in Azure Portal en Microsoft 365-beheercentrum. We hebben de naam gewijzigd in 'Service Support Administrator' om deze uit te lijnen met de naam van de Microsoft Graph-API, Azure AD Graph API en Azure AD PowerShell.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
SharePoint Administrator
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Office SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de service health te bewaken. Meer informatie op Over beheerdersrollen.
Notitie
In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'SharePoint Service Administrator'. Het is 'SharePoint Administrator' in de Azure Portal.
Notitie
Met deze rol worden ook machtigingen met een bereik verleend aan de Microsoft Graph-API voor Microsoft Intune, zodat beleidsregels met betrekking tot SharePoint en OneDrive kunnen worden gefingeerd.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Groepen permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/groups.unified/create | Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Groepen Microsoft 365 herstellen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.sharePoint/allEntities/allTasks | Maak en verwijder alle resources en lees en werk standaardeigenschappen in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Skype voor Bedrijven administrator
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, en beheren Skype-specifieke gebruikerskenmerken in Azure Active Directory. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken, en om toegang te krijgen tot Teams en Skype voor Bedrijven-beheercentrum. Het account moet ook een licentie hebben voor Teams of kan niet worden uitgevoerd Teams PowerShell-cmdlets. Meer informatie op Informatie over de Skype voor Bedrijven-beheerdersrol en Teams licentie-informatie op Skype voor Bedrijven en Microsoft Teams invoeglicenties
Notitie
In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Lync Service Administrator'. Het is 'Skype voor Bedrijven Administrator' in de Azure Portal.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Teams administrator
Gebruikers met deze rol kunnen alle aspecten van de workload Microsoft Teams beheren via het Microsoft Teams & Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerhulpprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Met deze rol kunt u bovendien alle groepen Microsoft 365 beheren, ondersteuningstickets beheren en de service health bewaken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/deletedItems.groups/delete | Groepen permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Groepen Microsoft 365 herstellen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Een service-principal directe toegang verlenen tot de gegevens van een groep |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.network/performance/allProperties/read | Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/allEntities/allProperties/allTasks | Alle resources in Teams |
Teams-communicatiebeheerder
Gebruikers met deze rol kunnen aspecten van de werkbelasting van Microsoft Teams beheren met betrekking tot spraak& telefonie. Dit omvat de beheerhulpprogramma's voor het toewijzing van telefoonnummers, spraak- en vergaderingsbeleid en volledige toegang tot de toolset voor analyse van aanroepen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets voor ondersteuning voor Azure maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/callQuality/allProperties/read | Alle gegevens lezen in het CQD (Call Quality Dashboard) |
| microsoft.teams/meetings/allProperties/allTasks | Vergaderingen beheren, waaronder beleid voor vergaderingen, configuraties en conferentiebruggen |
| microsoft.teams/voice/allProperties/allTasks | Spraak beheren, inclusief oproepbeleid en inventaris en toewijzing van telefoonnummers |
Ondersteuningstechnicus voor Teams-communicatie
Gebruikers met deze rol kunnen communicatieproblemen binnen een Microsoft Teams & Skype voor Bedrijven met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in Microsoft Teams & Skype voor Bedrijven beheercentrum. Gebruikers met deze rol kunnen informatie over volledige oproeprecords weergeven voor alle betrokken deelnemers. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/callQuality/allProperties/read | Alle gegevens lezen in het CQD (Call Quality Dashboard) |
Ondersteuningsspecialist voor Teams-communicatie
Gebruikers met deze rol kunnen communicatieproblemen binnen een Microsoft Teams & Skype voor Bedrijven met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in Microsoft Teams & Skype voor Bedrijven beheercentrum. Gebruikers met deze rol kunnen alleen gebruikersdetails bekijken in de aanroep voor de specifieke gebruiker die ze hebben op gezocht. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/callQuality/standard/read | Basisgegevens lezen in het CQD (Call Quality Dashboard) |
Teams-apparaatbeheerder
Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan de details van elk apparaat controleren, waaronder het aangemelde account, het make- en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen voor het controleren Teams activiteit en het aanroepen van de kwaliteit van het apparaat.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
| microsoft.teams/devices/standard/read | Alle aspecten van Teams-gecertificeerde apparaten beheren, inclusief configuratiebeleid |
Lezer van rapporten over gebruiksoverzichten
Gebruikers met deze rol hebben toegang tot geaggregeerde gegevens op tenantniveau en bijbehorende inzichten in Microsoft 365-beheercentrum voor Gebruiks- en productiviteitsscore, maar hebben geen toegang tot details of inzichten op gebruikersniveau. In Microsoft 365-beheercentrum rapporten maken we onderscheid tussen geaggregeerde gegevens op tenantniveau en details op gebruikersniveau. Deze rol biedt een extra beveiligingslaag voor afzonderlijke gebruikersgegevens, die zijn aangevraagd door zowel klanten als juridische teams.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum |
| microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde rapporten op tenantniveau Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum |
Gebruikersbeheerder
Gebruikers met deze rol kunnen gebruikers maken en alle aspecten van gebruikers beheren met bepaalde beperkingen (zie de tabel) en het verloopbeleid voor wachtwoorden bijwerken. Daarnaast kunnen gebruikers met deze rol alle groepen maken en beheren. Deze rol omvat ook de mogelijkheid om gebruikersweergaven te maken en beheren, ondersteuningstickets te beheren en de service health te bewaken. Gebruikersbeheerders hebben geen machtigingen voor het beheren van bepaalde gebruikerseigenschappen voor gebruikers in de meeste beheerdersrollen. Beheerders met deze rol hebben geen machtigingen voor het beheren van MFA of het beheren van gedeelde postvakken. De rollen die uitzonderingen op deze beperking zijn, worden vermeld in de volgende tabel.
| Gebruikersbeheerdersmachtiging | Notities |
|---|---|
| Gebruikers en groepen maken Gebruikersweergaven maken en beheren Ondersteuningstickets Office beheren Verloopbeleid voor wachtwoorden bijwerken |
|
| Licenties beheren Alle gebruikerseigenschappen beheren, behalve User Principal Name |
Van toepassing op alle gebruikers, met inbegrip van alle beheerders |
| Verwijderen en herstellen Uitschakelen en inschakelen Alle gebruikerseigenschappen beheren, inclusief User Principal Name FIDO-apparaatsleutels bijwerken |
Is van toepassing op gebruikers die geen beheerder zijn of die een van de volgende rollen hebben:
|
| Vernieuwingstokens ongeldig maken Wachtwoord opnieuw instellen |
Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een gebruikersbeheerder kan gebruiken om wachtwoorden opnieuw in te stellen en vernieuwingstokens ongeldig te maken. |
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Het wijzigen van het wachtwoord van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:
- Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoorrechte machtigingen in Azure AD en elders niet aan gebruikersbeheerders verleend. Via dit pad kan een gebruikersbeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie in Azure.
- Beveiligingsgroep en Microsoft 365,die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
- Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridische medewerkers en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/contacts/create | Contactpersonen maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen van contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Zacht verwijderde groepen herstellen naar de oorspronkelijke staat |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen, en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en groepen Microsoft 365 verwijderen, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, inclusief groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/restore | Verwijderde groepen herstellen |
| microsoft.directory/groups/basic/update | Basiseigenschappen van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/classification/update | Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van rol-toewijsbare groepen |
| microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en groepen Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen |
| microsoft.directory/groups/onPremWriteBack/update | Werk Azure Active Directory groepen bij die moeten worden teruggeschreven naar on-premises met Azure AD-Verbinding maken |
| microsoft.directory/groups/owners/update | Update owners of Security groups and Microsoft 365 groups, excluding role-assignable groups |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | De zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Machtigingen voor OAuth 2.0 maken en verwijderen, en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen voor service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/invalidateAllRefreshTokens | Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Updatebeheer voor gebruikers |
| microsoft.directory/users/password/update | Wachtwoorden opnieuw instellen voor alle gebruikers |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lees en configureer Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lees en configureer Service Health in de Microsoft 365-beheercentrum |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Windows 365-beheerder
Gebruikers met deze rol hebben globale machtigingen voor Windows 365 resources, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te koppelen, en om groepen te maken en te beheren.
Deze rol kan beveiligingsgroepen maken en beheren, maar heeft geen beheerdersrechten voor Microsoft 365 groepen. Dit betekent dat beheerders eigenaars of lidmaatschappen van Microsoft 365 in de organisatie niet kunnen bijwerken. Ze kunnen echter de Microsoft 365 die ze maken, wat een onderdeel is van hun eindgebruikersbevoegdheden. Elke groep Microsoft 365 (geen beveiligingsgroep) die ze maken, wordt dus meegetelde bij hun quotum van 250.
Wijs Windows 365-beheerdersrol toe aan gebruikers die de volgende taken moeten uitvoeren:
- Windows 365 Cloud-pc's beheren in Microsoft Endpoint Manager
- Apparaten inschrijven en beheren in Azure AD, inclusief het toewijzen van gebruikers en beleid
- Beveiligingsgroepen maken en beheren, maar geen rol toewijsbare groepen
- Basiseigenschappen weergeven in de Microsoft 365-beheercentrum
- Gebruiksrapporten lezen in de Microsoft 365-beheercentrum
- Ondersteuningstickets maken en beheren in Azure AD en de Microsoft 365-beheercentrum
| Acties | Beschrijving |
|---|---|
| microsoft.directory/devices/create | Apparaten maken (inschrijven in Azure AD) |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Azure AD |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Azure AD |
| microsoft.directory/devices/enable | Apparaten inschakelen in Azure AD |
| microsoft.directory/devices/basic/update | Basiseigenschappen op apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet1/update | De extensieAttribute1 bijwerken naar extensionAttribute5-eigenschappen op apparaten |
| microsoft.directory/devices/extensionAttributeSet2/update | De extensionAttribute6 bijwerken naar extensionAttribute10-eigenschappen op apparaten |
| microsoft.directory/devices/extensionAttributeSet3/update | De extensionAttribute11 bijgewerkt naar extensionAttribute15-eigenschappen op apparaten |
| microsoft.directory/devices/registeredOwners/update | Geregistreerde eigenaren van apparaten bijwerken |
| microsoft.directory/devices/registeredUsers/update | Geregistreerde gebruikers van apparaten bijwerken |
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/classification/update | De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Dynamische lidmaatschapsregel van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/visibility/update | De zichtbaarheids-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor apparaatregistratiebeleid lezen |
| microsoft.azure.supportTickets/allEntities/allTasks | Tickets maken en ondersteuning voor Azure beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Gebruiksrapporten Office 365 lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum |
Windows update-implementatiebeheerder
Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van de update controleren.
| Acties | Beschrijving |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Alle aspecten van de updateservice Windows en configureren |
Rolmachtigingen begrijpen
Het schema voor machtigingen volgt losjes de REST-indeling van Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Bijvoorbeeld:
microsoft.directory/applications/credentials/update
| Machtigingselement | Beschrijving |
|---|---|
| naamruimte | Product of service die de taak blootstelt en wordt voorbereid met microsoft . Alle taken in Azure AD gebruiken bijvoorbeeld de microsoft.directory naamruimte . |
| Entiteit | Logische functie of onderdeel die wordt blootgesteld door de service in Microsoft Graph. Azure AD maakt bijvoorbeeld gebruikers en groepen beschikbaar, OneNote maakt notities beschikbaar en Exchange postvakken en agenda's. Er is een speciaal allEntities trefwoord voor het opgeven van alle entiteiten in een naamruimte. Dit wordt vaak gebruikt in rollen die toegang verlenen tot een heel product. |
| propertySet | Specifieke eigenschappen of aspecten van de entiteit waarvoor toegang wordt verleend. Verleent microsoft.directory/applications/authentication/read bijvoorbeeld de mogelijkheid om de antwoord-URL, de aanmeldings-URL en de impliciete stroom-eigenschap voor het toepassingsobject in Azure AD te lezen.
|
| action | Bewerking die wordt verleend, meestal maken, lezen, bijwerken of verwijderen (CRUD). Er is een speciaal trefwoord voor het opgeven van alle bovenstaande mogelijkheden allTasks (maken, lezen, bijwerken en verwijderen). |
Afgeschafte rollen
De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst verwijderd uit Azure AD.
- AdHoc-licentiebeheerder
- Apparaat-join
- Apparaatbeheerders
- Apparaatgebruikers
- Geverifieerde e-mailgebruiker
- Postvakbeheerder
- Workplace Device Join
Rollen die niet worden weergegeven in de portal
Niet elke rol die wordt geretourneerd door PowerShell of MS Graph API is zichtbaar in Azure Portal. In de volgende tabel worden deze verschillen georganiseerd.
| API-naam | Azure-portaalnaam | Notities |
|---|---|---|
| Apparaat-join | Afgeschaft | Documentatie over afgeschafte rollen |
| Apparaatbeheerders | Afgeschaft | Documentatie over afgeschafte rollen |
| Apparaatgebruikers | Afgeschaft | Documentatie over afgeschafte rollen |
| Adreslijstsynchronisatieaccounts | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie voor adreslijstsynchronisatieaccounts |
| Gastgebruiker | Niet weergegeven omdat deze niet kan worden gebruikt | NA |
| Ondersteuning voor Partner Tier 1 | Niet weergegeven omdat deze niet mag worden gebruikt | Ondersteuningsdocumentatie voor Partner Tier1 |
| Ondersteuning voor Partner Tier 2 | Niet weergegeven omdat deze niet mag worden gebruikt | Ondersteuningsdocumentatie voor Partner Tier2 |
| Beperkte gastgebruiker | Niet weergegeven omdat deze niet kan worden gebruikt | NA |
| Gebruiker | Niet weergegeven omdat deze niet kan worden gebruikt | NA |
| Workplace Device Join | Afgeschaft | Documentatie over afgeschafte rollen |
Machtigingen voor wachtwoord opnieuw instellen
Kolomkoppen vertegenwoordigen de rollen die wachtwoorden opnieuw kunnen instellen. Tabelrijen bevatten de rollen waarvoor het wachtwoord opnieuw kan worden ingesteld.
| Het wachtwoord kan opnieuw worden ingesteld | Wachtwoordbeheerder | Helpdeskbeheerder | Verificatiebeheerder | Gebruikersbeheerder | Beheerder van bevoegde verificatie | Globale beheerder |
|---|---|---|---|---|---|---|
| Verificatiebeheerder | ✔️ | ✔️ | ✔️ | |||
| Lezers van mappen | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Globale beheerder | ✔️ | ✔️* | ||||
| Beheerder van groepen | ✔️ | ✔️ | ✔️ | |||
| Afzender van gastuitnodigingen | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Helpdeskbeheerder | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Berichtencentrum-lezer | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Wachtwoordbeheerder | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Beheerder van bevoegde verificatie | ✔️ | ✔️ | ||||
| Beheerder met bevoorrechte rol | ✔️ | ✔️ | ||||
| Rapportenlezer | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Gebruiker (geen beheerdersrol) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Gebruiker (geen beheerdersrol, maar lid van een rol toewijsbare groep) |
✔️ | ✔️ | ||||
| Gebruikersbeheerder | ✔️ | ✔️ | ✔️ | |||
| Lezer van rapporten over gebruiksoverzichten | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
* Een globale beheerder kan zijn of haar eigen globale beheerderstoewijzing niet verwijderen. Dit is om te voorkomen dat een organisatie 0 globale beheerders heeft.