Ingebouwde Azure AD-rollen

Als Azure Active Directory (Azure AD) een andere beheerder of niet-beheerder Azure AD-resources moet beheren, wijst u hen een Azure AD-rol toe die de machtigingen biedt die ze nodig hebben. U kunt bijvoorbeeld rollen toewijzen om het toevoegen of wijzigen van gebruikers toe te staan, gebruikerswachtwoorden opnieuw in te stellen, gebruikerslicenties te beheren of domeinnamen te beheren.

Dit artikel bevat een overzicht van de ingebouwde Azure AD-rollen die u kunt toewijzen om beheer van Azure AD-resources toe te staan. Zie Azure AD-rollen toewijzen aan gebruikers voor meer informatie over het toewijzen van rollen.

Alle rollen

Rol Beschrijving Sjabloon-id
Toepassingsbeheerder Kan alle aspecten van app-registraties en bedrijfsapps maken en beheren. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Toepassingsontwikkelaar Kan toepassingsregistraties maken, onafhankelijk van de instelling 'Gebruikers kunnen toepassingen registreren'. cf1c38e5-3621-4004-a7cb-879624dced7c
Auteur van nettolading voor aanvallen Kan nettoladingen voor aanvallen maken die een beheerder later kan initiëren. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Beheerder van aanvalssimulatie Kan alle aspecten van aanvalssimulatiecampagnes maken en beheren. c430b396-e693-46cc-96f3-db01bf8bb62a
Verificatiebeheerder Heeft toegang tot het weergeven, instellen en opnieuw instellen van verificatiemethodegegevens voor elke gebruiker die geen beheerder is. c4e39bd9-1100-46d3-8c65-fb160da0071f
Verificatiebeleidsbeheerder Kan het verificatiemethodebeleid, de tenantbrede MFA-instellingen, het wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Lokale apparaatbeheerder die lid is van Azure AD Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd aan de lokale beheerdersgroep op apparaten die zijn toegevoegd aan Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps-beheerder Kan het beleid en de instellingen van de Azure DevOps-organisatie beheren. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection-beheerder Kan alle aspecten van het Azure Information Protection beheren. 7495fdc4-34c4-4d15-a289-98788ce399fd
Beheerder van B2C IEF-sleutelset Kan geheimen voor federatie en versleuteling beheren in Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Beheerder van B2C IEF-beleid Kan vertrouwens frameworkbeleid maken en beheren in de Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Factureringsbeheerder Kan algemene taken met betrekking tot facturering uitvoeren, zoals het bijwerken van betalingsgegevens. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security Beheerder Kan alle aspecten van het Cloud App Security beheren. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Beheerder van de cloudtoepassing Kan alle aspecten van app-registraties en bedrijfsapps maken en beheren, met uitzondering van App Proxy. 158c047a-c907-4556-b7ef-446551a6b5f7
Cloudapparaatbeheerder Beperkte toegang voor het beheren van apparaten in Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Beheerder voor naleving Kan configuratie en rapporten voor naleving lezen en beheren in Azure AD en Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Beheerder voor nalevingsgegevens Hiermee maakt en beheert u nalevingsinhoud. e6d1a23a-da11-4be4-9570-befc86d067a7
Beheerder van voorwaardelijke toegang Kan mogelijkheden voor voorwaardelijke toegang beheren. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Toegangsfiatteur voor Klanten-lockbox Kan Ondersteuningsaanvragen van Microsoft goedkeuren voor toegang tot organisatiegegevens van klanten. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics-beheerder Kan bureaubladbeheerprogramma's en -services openen en beheren. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Lezers van mappen Kan basisinformatie over directory's lezen. Wordt vaak gebruikt om leestoegang tot mappen toe te staan aan toepassingen en gasten. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Adreslijstsynchronisatieaccounts Alleen gebruikt door Azure AD Verbinding maken service. d29b2b05-8046-44ba-8758-1e26182fcf32
Adreslijstschrijvers Kan basisinformatie over directory's lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. 9360feb5-f418-4baa-8175-e2a00bac4301
Domeinnaambeheerder Kan domeinnamen beheren in de cloud en on-premises. 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365-beheerder Kan alle aspecten van het Dynamics 365-product beheren. 44367163-eba1-44c3-98af-f5787879f96a
Edge-beheerder Beheer alle aspecten van Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange Beheerder Kan alle aspecten van het Exchange beheren. 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange Ontvangerbeheerder Kan ontvangers binnen Exchange Online organisatie maken Exchange Online bijwerken. 31392ffb-586c-42d1-9346-e59415a2cc4e
Beheerder van externe id-gebruikersstromen Kan alle aspecten van gebruikersstromen maken en beheren. 6e591065-9bad-43ed-90f3-e9424366d2f0
Beheerder van externe id-gebruikersstroomkenmerken Kan het kenmerkschema maken en beheren dat beschikbaar is voor alle gebruikersstromen. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Beheerder van externe id-providers Kan id-providers configureren voor gebruik in directe federatie. be2f45a1-457d-42af-a067-6ec1fa63bc45
Globale beheerder Kan alle aspecten van Azure AD en Microsoft-services die gebruikmaken van Azure AD-identiteiten. 62e90394-69f5-4237-9190-012177145e10
Algemene lezer Kan alles lezen wat een globale beheerder kan, maar niets bijwerken. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Groepsbeheerder Leden van deze rol kunnen groepen maken/beheren, instellingen voor groepen maken/beheren, zoals naamgeving en verloopbeleid, en activiteiten- en controlerapporten van groepen weergeven. fdd7a751-b60b-444a-984c-02652fe8fa1c
Afzender van gastuitnodigingen Kan gastgebruikers uitnodigen onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen'. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Helpdeskbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybrid Identity-beheerder Kan AD-naar-Azure AD-cloud-inrichting, Azure AD-Verbinding maken en federatie-instellingen beheren. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance-beheerder Toegang beheren met Azure AD voor scenario's voor identiteitsbeheer. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights-beheerder Heeft beheerderstoegang in de Microsoft 365 Insights app. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights-bedrijfsleider U kunt dashboards en inzichten weergeven en delen via de Microsoft 365 Insights app. 31e939ad-9672-4796-9c2e-873181342d2d
Intune-beheerder Kan alle aspecten van het Intune-product beheren. 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala-beheerder Kan instellingen voor Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Kennisbeheerder Kan kennis, leren en andere intelligente functies configureren. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Knowledge Manager Kan onderwerpen en kennis organiseren, maken, beheren en promoten. 744ec460-397e-42ad-a462-8b3f9747a02c
Licentiebeheerder Kan productlicenties voor gebruikers en groepen beheren. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Berichtencentrum-privacylezer Kan alleen beveiligingsberichten en updates in Office 365 Berichtencentrum lezen. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Berichtencentrum-lezer Kan berichten en updates voor hun organisatie alleen in Office 365 Berichtencentrum lezen. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Moderne Commerce-gebruiker Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. d24aef57-1500-4070-84db-2666f29cf966
Netwerkbeheerder Kan netwerklocaties beheren en inzicht krijgen in het ontwerp van bedrijfsnetwerk voor Microsoft 365 Software as a Service-toepassingen. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Beheerder van Office-apps Kan cloudservices voor Office-apps beheren, met inbegrip van beleids- en instellingenbeheer, en de mogelijkheid beheren om inhoud van functies voor nieuwe functies te selecteren, deselecteren en publiceren op apparaten van eindgebruikers. 2b745bdf-0803-4d80-aa65-822c4493daac
Laag1-ondersteuning voor partner Niet gebruiken: niet bedoeld voor algemeen gebruik. 4ba39ca4-527c-499a-b93d-d9b492c50246
Laag2-ondersteuning voor partner Niet gebruiken: niet bedoeld voor algemeen gebruik. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Wachtwoordbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en wachtwoordbeheerders. 966707d0-3269-4727-9be2-8c3a10f19b9d
Power BI Beheerder Kan alle aspecten van het Power BI beheren. a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform-beheerder Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Printerbeheerder Kan alle aspecten van printers en printerconnectoren beheren. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Printertechnicus Kan printers registreren en de registratie ongedaan maken en de printerstatus bijwerken. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Bevoorrechte verificatiebeheerder Kan toegang krijgen tot het weergeven, instellen en opnieuw instellen van verificatiemethodegegevens voor elke gebruiker (beheerder of niet-beheerder). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Beheerder voor bevoorrechte rollen Kan roltoewijzingen beheren in Azure AD en alle aspecten van Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Rapportenlezer Kan aanmeldings- en controlerapporten lezen. 4a5d8f65-41da-4de4-8968-e035b65339cf
Zoekbeheerder Kan alle aspecten van de Microsoft Search maken en beheren. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Zoekredacteur Kan de redactionele inhoud maken en beheren, zoals bladwijzers, Q en As, locaties, floorplan. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Beveiligingsbeheerder Kan beveiligingsgegevens en -rapporten lezen en configuratie beheren in Azure AD en Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Beveiligingsoperator Hiermee maakt en beheert u beveiligingsgebeurtenissen. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Beveiligingslezer Kan beveiligingsinformatie en -rapporten lezen in Azure AD en Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Serviceondersteuningsbeheerder Kan informatie over service health lezen en ondersteuningstickets beheren. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint Beheerder Kan alle aspecten van de SharePoint beheren. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype voor Bedrijven Beheerder Kan alle aspecten van het Skype voor Bedrijven beheren. 75941009-915a-4869-abe7-691bff18279e
Teams Beheerder Kan de Microsoft Teams beheren. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams-communicatiebeheerder Kan functies voor oproepen en vergaderingen binnen de Microsoft Teams beheren. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Ondersteuningstechnicus voor Teams-communicatie Kan communicatieproblemen binnen uw Teams met behulp van geavanceerde hulpprogramma's. f70938a0-fc10-4177-9e90-2178f8765737
Ondersteuningsspecialist voor Teams-communicatie Kan communicatieproblemen binnen uw Teams met behulp van basishulpprogramma's. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams-apparaatbeheerder Kan beheergerelateerde taken uitvoeren op Teams gecertificeerde apparaten. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Lezer van rapporten over gebruiksoverzichten Kan alleen aggregaties op tenantniveau zien in Microsoft 365 Gebruiksanalyse en Productiviteitsscore. 75934031-6c7e-415a-99d7-48dbd49e875e
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. fe930be7-5e62-47db-91af-98c3a49a38b1
Windows Update-implementatiebeheerder Maak en beheer alle aspecten van Windows Update-implementaties via de Windows Update voor Bedrijven-implementatieservice. 32696413-001a-46ae-978c-ce0f6b3620d2

Toepassingsbeheerder

Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Houd er rekening mee dat gebruikers die aan deze rol zijn toegewezen niet als eigenaren worden toegevoegd bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor zowel Microsoft Graph als Azure AD-Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar voor het verlenen van deze machtigingen (dat wil zeggen toestemming geven) is een meer bevoorrechte beheerder vereist, zoals globale beheerder.

Deze rol verleent de mogelijkheid om toepassingsreferenties te beheren. Gebruikers aan wie deze rol is toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als aan de identiteit van de toepassing toegang is verleend tot een resource, zoals de mogelijkheid om gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren kan een verhoging van toegangsrechten zijn voor wat de gebruiker kan doen via hun roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hen de mogelijkheid biedt om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/applicationProxy/read Alle eigenschappen van de toepassingsproxy lezen
microsoft.directory/applications/applicationProxy/update Alle eigenschappen van de toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxyAuthentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/applicationProxySslCertificate/update SSL-certificaatinstellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxyUrlSettings/update URL-instellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/appRoles/update De eigenschap appRoles voor alle typen toepassingen bijwerken
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update Eigenschap applicationsverification bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantieren op basis van toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/connectors/create Toepassingsproxyconnectoren maken
microsoft.directory/connectors/allProperties/read Alle eigenschappen van toepassingsproxyconnectoren lezen
microsoft.directory/connectorGroups/create Connectorgroepen voor toepassingsproxy maken
microsoft.directory/connectorGroups/delete Connectorgroepen voor toepassingsproxy verwijderen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor toepassingsproxy lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van connectorgroepen voor toepassingsproxy's bijwerken
microsoft.directory/deletedItems.applications/delete Permanent verwijderen van toepassingen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.applications/restore Herstellen van de oorspronkelijke status van de toepassingen die zijn verwijderd
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleid maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleid verwijderen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleid lezen
microsoft.directory/applicationPolicies/owners/read Eigenaren van toepassingsbeleid lezen
microsoft.directory/applicationPolicies/policyAppliedTo/read Toepassingsbeleid lezen dat is toegepast op de lijst met objecten
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/owners/update De eigenschap Eigenaar van toepassingsbeleid bijwerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor een enkele aanmelding beheren voor service-principals
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor een aanmelding voor service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Verleen toestemming voor toepassingsmachtigingen en gedelegeerde machtigingen namens een gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph en Azure AD-Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Eigenschappen van de doelgroep voor service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Updatebeleid van service-principals
microsoft.directory/servicePrincipals/tag/update De tag-eigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Toepassingsontwikkelaar

Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling Gebruikers kunnen toepassingen registreren is ingesteld op Nee. Deze rol verleent ook toestemming om namens iemand toestemming te geven wanneer de instelling 'Gebruikers kunnen toestemming geven voor apps die namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.

Acties Beschrijving
microsoft.directory/applications/createAsOwner Maak alle typen toepassingen en creator wordt toegevoegd als de eerste eigenaar
microsoft.directory/oAuth2PermissionGrants/createAsOwner OAuth 2.0-machtigingen maken, met creator als de eerste eigenaar
microsoft.directory/servicePrincipals/createAsOwner Service-principals maken, met creator als de eerste eigenaar

Auteur van nettolading van aanval

Gebruikers met deze rol kunnen nettoladingen voor aanvallen maken, maar niet daadwerkelijk starten of plannen. Nettoladingen van aanvallen zijn vervolgens beschikbaar voor alle beheerders in de tenant die deze kunnen gebruiken om een simulatie te maken.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training

Beheerder van aanvalssimulatie

Gebruikers met deze rol kunnen alle aspecten van het maken van een aanvalssimulatie, het starten/plannen van een simulatie en de beoordeling van simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in de aanvalssimulator

Verificatiebeheerder

Gebruikers met deze rol kunnen elke verificatiemethode (inclusief wachtwoorden) instellen of opnieuw instellen voor niet-beheerders en bepaalde rollen. Verificatiebeheerders kunnen vereisen dat gebruikers die niet-beheerders zijn of die zijn toegewezen aan bepaalde rollen, zich opnieuw registreren bij bestaande referenties zonder wachtwoord (bijvoorbeeld MFA of FIDO), en kunnen ook MFA intrekken op het apparaat, dat bij de volgende aanmelding om MFA vraagt. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een verificatiebeheerder kan lezen of bijwerken.

De beheerdersrol Bevoegde verificatie heeft machtigingen om herregistratie en meervoudige verificatie af te dwingen voor alle gebruikers.

De rol Verificatiebeleidsbeheerder heeft machtigingen om het verificatiemethodebeleid van de tenant in te stellen waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.

Rol Auth-methoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Beleid voor de auth-methode beheren Wachtwoordbeveiligingsbeleid beheren
Verificatiebeheerder Ja voor sommige gebruikers (zie hierboven) Ja voor sommige gebruikers (zie hierboven) Nee Nee Nee
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee
Verificatiebeleidsbeheerder Nee Nee Ja Ja Ja

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Het wijzigen van de referenties van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:

  • Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoorrechte machtigingen in Azure AD en elders die niet zijn verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure.
  • Beveiligingsgroep en Microsoft 365, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridische medewerkers en medewerkers van human resources die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.

Belangrijk

Deze rol kan geen MFA-instellingen beheren in de verouderde MFA-beheerportal of Hardware OATH-tokens. Dezelfde functies kunnen worden uitgevoerd met behulp van de Azure AD Powershell-module Set-MsolUser-commandlet.

Acties Beschrijving
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Verificatiebeleidsbeheerder

Gebruikers met deze rol kunnen het beleid voor verificatiemethoden, tenantbrede MFA-instellingen en wachtwoordbeveiligingsbeleid configureren. Deze rol verleent machtigingen voor het beheren van instellingen voor wachtwoordbeveiliging: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.

De beheerdersrollen Verificatiebeheerder en Bevoegde verificatie zijn machtigingen voor het beheren van geregistreerde verificatiemethoden voor gebruikers en kunnen herregistratie en meervoudige verificatie voor alle gebruikers forceer.

Rol Auth-methoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Beleid voor de auth-methode beheren Wachtwoordbeveiligingsbeleid beheren
Verificatiebeheerder Ja voor sommige gebruikers (zie hierboven) Ja voor sommige gebruikers (zie hierboven) Nee Nee Nee
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee
Verificatiebeleidsbeheerder Nee Nee Ja Ja Ja

Belangrijk

Deze rol kan geen MFA-instellingen beheren in de verouderde MFA-beheerportal of Hardware OATH-tokens.

Acties Beschrijving
microsoft.directory/organization/strongAuthentication/allTasks Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren
microsoft.directory/userCredentialPolicies/create Referentiebeleid voor gebruikers maken
microsoft.directory/userCredentialPolicies/delete Referentiebeleid voor gebruikers verwijderen
microsoft.directory/userCredentialPolicies/standard/read Standaardeigenschappen van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/owners/read Eigenaren van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Policy.appliesTo-navigatiekoppeling lezen
microsoft.directory/userCredentialPolicies/basic/update Basisbeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/owners/update Eigenaren van referentiebeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/tenantDefault/update De eigenschap policy.isOrganizationDefault bijwerken
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een verifieerbare referentiekaart lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een verifieerbare referentiekaart intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een verifieerbaar referentiecontract maken
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een verifieerbaar referentiecontract lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een verifieerbaar referentiecontract bijwerken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties en het verwijderen van alle verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/read Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren

Lokale apparaatbeheerder die lid is van Azure AD

Deze rol is alleen beschikbaar voor toewijzing als een extra lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale machinebeheerders op alle Windows 10 apparaten die zijn verbonden met Azure Active Directory. Ze hebben niet de mogelijkheid om apparatenobjecten te beheren in Azure Active Directory.

Acties Beschrijving
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor groepsinstellingssjablonen lezen

Azure DevOps-beheerder

Gebruikers met deze rol kunnen het Azure DevOps-beleid beheren om het maken van nieuwe Azure DevOps-organisaties te beperken tot een set configureerbare gebruikers of groepen. Gebruikers met deze rol kunnen dit beleid beheren via elke Azure DevOps-organisatie die wordt gebruikt door de Azure AD-organisatie van het bedrijf. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld Project Collection Administrators) binnen een van de Azure DevOps-organisaties die worden ondersteuning gegeven door de Azure AD-organisatie van het bedrijf.

Alle Enterprise Azure DevOps-beleidsregels kunnen worden beheerd door gebruikers in deze rol.

Acties Beschrijving
microsoft.azure.devOps/allEntities/allTasks Azure DevOps lezen en configureren

Azure Information Protection-beheerder

Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection service. Met deze rol kunt u labels voor het Azure Information Protection configureren, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health of Office 365 Security & Compliance Center.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van de Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Beheerder van B2C IEF-sleutelset

De gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder zo nodig geheimen overrollen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs na het maken ervan.

Belangrijk

Dit is een gevoelige rol. De rol keysetbeheerder moet zorgvuldig worden gecontroleerd en zorgvuldig worden toegewezen tijdens de preproductie en productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Alle eigenschappen van autorisatiebeleid lezen en bijwerken

Beheerder van B2C IEF-beleid

Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over de Identity Experience Framework in de relevante Azure AD B2C-organisatie. Door beleid te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersinhoud wijzigen (HTML, CSS, JavaScript), de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens verzenden naar externe systemen, inclusief volledige migraties, en alle gebruikersgegevens bewerken, inclusief gevoelige velden, zoals wachtwoorden en telefoonnummers. Deze rol kan daarentegen de versleutelingssleutels niet wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.

Belangrijk

De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauwkeurig worden gecontroleerd, met name voor organisaties in productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Sleutelsets lezen en configureren in Azure Active Directory B2C

Factureringsbeheerder

Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.

Acties Beschrijving
microsoft.directory/organization/basic/update Basiseigenschappen van de organisatie bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.commerce.billing/allEntities/allTasks Alle aspecten van Office 365 beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Cloud App Security Beheerder

Gebruikers met deze rol hebben volledige machtigingen in Cloud App Security. Ze kunnen beheerders toevoegen, Microsoft Cloud App Security (MCAS)-beleid en -instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren.

Acties Beschrijving
microsoft.directory/cloudAppSecurity/allProperties/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen in Microsoft Cloud App Security
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Beheerder van de cloudtoepassing

Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Met deze rol kunt u alle aspecten van bedrijfstoepassingen en toepassingsregistraties maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor zowel Microsoft Graph als Azure AD-Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar voor het verlenen van deze machtigingen (dat wil zeggen toestemming geven) is een meer bevoorrechte beheerder vereist, zoals globale beheerder.

Deze rol verleent de mogelijkheid om toepassingsreferenties te beheren. Gebruikers aan wie deze rol is toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als aan de identiteit van de toepassing toegang is verleend tot een resource, zoals de mogelijkheid om gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren kan een verhoging van toegangsrechten zijn voor wat de gebruiker kan doen via hun roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hen de mogelijkheid biedt om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles voor alle typen toepassingen bijwerken
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update Eigenschap applicationsverification bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantieren op basis van toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/deletedItems.applications/delete Permanent verwijderen van toepassingen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.applications/restore Herstellen van de oorspronkelijke status van de toepassingen die zijn verwijderd
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleid maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleid verwijderen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleid lezen
microsoft.directory/applicationPolicies/owners/read Eigenaren van toepassingsbeleid lezen
microsoft.directory/applicationPolicies/policyAppliedTo/read Toepassingsbeleid lezen dat is toegepast op de lijst met objecten
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/owners/update De eigenschap Eigenaar van toepassingsbeleid bijwerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor een enkele aanmelding beheren voor service-principals
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor een aanmelding voor service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Verleen toestemming voor toepassingsmachtigingen en gedelegeerde machtigingen namens een gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph en Azure AD-Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Eigenschappen van de doelgroep voor service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Updatebeleid van service-principals
microsoft.directory/servicePrincipals/tag/update De tag-eigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Cloudapparaatbeheerder

Gebruikers met deze rol kunnen apparaten in Azure AD inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels lezen (indien aanwezig) in de Azure Portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.

Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read Bitlocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/devices/delete Apparaten verwijderen uit Azure AD
microsoft.directory/devices/disable Apparaten uitschakelen in Azure AD
microsoft.directory/devices/enable Apparaten inschakelen in Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen voor toepassingsbeleid voor apparaatbeheer bijwerken
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor apparaatregistratiebeleid lezen
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor apparaatregistratiebeleid bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum

Beheerder voor naleving

Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsfuncties in Microsoft 365-compliancecentrum, Microsoft 365-beheercentrum, Azure en Office 365 Security & Compliance Center. Beheerders kunnen ook alle functies in het Exchange-beheercentrum en Teams & Skype voor Bedrijven-beheercentrums beheren en ondersteuningstickets maken voor Azure en Microsoft 365. Meer informatie is beschikbaar op Over Microsoft 365 beheerdersrollen.

In Wel
Microsoft 365-compliancecentrum De gegevens van uw organisatie beveiligen en beheren Microsoft 365 services
Nalevingswaarschuwingen beheren
Compliance Manager Activiteiten op het gebied van naleving van regelgeving van uw organisatie bijhouden, toewijzen en controleren
Office 365 Security & Compliance Center Gegevensgovernance beheren
Juridisch onderzoek en gegevensonderzoek uitvoeren
Aanvraag van gegevensonderwerp beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Nalevingsbeheerder in Office 365 Security & Compliance Center op rollen gebaseerd toegangsbeheer.
Intune Alles weergeven in Intune controleren
Cloud App Security Heeft alleen-lezenmachtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder de Gegevensbeheer
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliance Manager beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Beheerder voor nalevingsgegevens

Gebruikers met deze rol hebben machtigingen om gegevens in de Microsoft 365-compliancecentrum, Microsoft 365-beheercentrum en Azure bij te houden. Gebruikers kunnen ook nalevingsgegevens bijhouden in het Exchange-beheercentrum, Compliance Manager en Teams & Skype voor Bedrijven-beheercentrum en ondersteuningstickets maken voor Azure en Microsoft 365. Deze documentatie heeft meer informatie over de verschillen tussen de nalevingsbeheerder en de gegevensbeheerder voor naleving.

In Wel
Microsoft 365-compliancecentrum Nalevingsbeleid voor alle Microsoft 365 bewaken
Nalevingswaarschuwingen beheren
Compliance Manager Activiteiten op het gebied van naleving van regelgeving van uw organisatie bijhouden, toewijzen en controleren
Office 365 Security & Compliance Center Gegevensgovernance beheren
Juridisch onderzoek en gegevensonderzoek uitvoeren
Aanvraag van gegevensonderwerp beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Nalevingsgegevensbeheerder in Office 365 Security & Compliance Center op rollen gebaseerd toegangsbeheer.
Intune Alles weergeven in Intune controleren
Cloud App Security Heeft alleen-lezenmachtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder de Gegevensbeheer
Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van de Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliance Manager beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Beheerder van voorwaardelijke toegang

Gebruikers met deze rol hebben de mogelijkheid om Azure Active Directory instellingen voor voorwaardelijke toegang te beheren.

Acties Beschrijving
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren bijwerken voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardten tenant bijwerken voor beleid voor voorwaardelijke toegang
microsoft.directory/crossTenantAccessPolicies/create Toegangsbeleid voor verschillende tenants maken
microsoft.directory/crossTenantAccessPolicies/delete Toegangsbeleid voor alle tenants verwijderen
microsoft.directory/crossTenantAccessPolicies/standard/read Basiseigenschappen van toegangsbeleid voor verschillende tenants lezen
microsoft.directory/crossTenantAccessPolicies/owners/read Eigenaars van toegangsbeleid voor verschillende tenants lezen
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Lees de eigenschap policyAppliedTo van toegangsbeleid voor verschillende tenants
microsoft.directory/crossTenantAccessPolicies/basic/update Basiseigenschappen van toegangsbeleid voor verschillende tenants bijwerken
microsoft.directory/crossTenantAccessPolicies/owners/update Eigenaren van toegangsbeleid voor verschillende tenants bijwerken
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update De standaard tenant bijwerken voor toegangsbeleid voor alle tenants

Toegangsfiatteur voor Klanten-lockbox

Beheert Klanten-lockbox in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox aanvragen en kunnen aanvragen van de Microsoft 365-beheercentrum. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden opnieuw instellen van personen die aan deze rol zijn toegewezen.

Acties Beschrijving
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Desktop Analytics-beheerder

Gebruikers met deze rol kunnen de Desktop Analytics beheren. Dit omvat de mogelijkheid om assetinventarisatie weer te geven, implementatieplannen te maken en de implementatie- en statusstatus weer te geven.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van de Desktop Analytics

Lezers van mappen

Gebruikers met deze rol kunnen basisinformatie over de directory lezen. Deze rol moet worden gebruikt voor:

  • Het verlenen van een specifieke set gastgebruikers leestoegang in plaats van deze toegang te verlenen aan alle gastgebruikers.
  • Het verlenen van een specifieke set niet-beheerderstoegang tot Azure Portal wanneer 'De toegang tot de Azure AD-portal beperken tot alleen beheerders' is ingesteld op Ja.
  • Service-principals toegang verlenen tot de map waar Directory.Read.All geen optie is.
Acties Beschrijving
microsoft.directory/administrativeUnits/standard/read Basiseigenschappen van beheereenheden lezen
microsoft.directory/administrativeUnits/members/read Leden van beheereenheden lezen
microsoft.directory/applications/standard/read Standaardeigenschappen van toepassingen lezen
microsoft.directory/applications/owners/read Eigenaren van toepassingen lezen
microsoft.directory/applications/policies/read Beleidsregels van toepassingen lezen
microsoft.directory/contacts/standard/read Basiseigenschappen van contactpersonen in Azure AD lezen
microsoft.directory/contacts/memberOf/read Het groepslidmaatschap voor alle contactpersonen in Azure AD lezen
microsoft.directory/contracts/standard/read Basiseigenschappen van partnercontracten lezen
microsoft.directory/devices/standard/read Basiseigenschappen op apparaten lezen
microsoft.directory/devices/memberOf/read Apparaatlidmaatschap lezen
microsoft.directory/devices/registeredOwners/read Geregistreerde eigenaren van apparaten lezen
microsoft.directory/devices/registeredUsers/read Geregistreerde gebruikers van apparaten lezen
microsoft.directory/directoryRoles/standard/read Basiseigenschappen in Azure AD-rollen bijwerken
microsoft.directory/directoryRoles/eligibleMembers/read De in aanmerking komende leden van Azure AD-rollen lezen
microsoft.directory/directoryRoles/members/read Alle leden van Azure AD-rollen lezen
microsoft.directory/domains/standard/read Basiseigenschappen van domeinen lezen
microsoft.directory/groups/standard/read Standaardeigenschappen van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/appRoleAssignments/read Toepassingsroltoewijzingen van groepen lezen
microsoft.directory/groups/memberOf/read Lees de eigenschap memberOf in Beveiligingsgroepen en Microsoft 365 groepen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/members/read Leden van beveiligingsgroepen en groepen Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/read Eigenaren van beveiligingsgroepen en groepen Microsoft 365 lezen, met inbegrip van rol toewijsbare groepen
microsoft.directory/groups/settings/read Instellingen van groepen lezen
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor groepsinstellingssjablonen lezen
microsoft.directory/oAuth2PermissionGrants/standard/read Basiseigenschappen voor OAuth 2.0-machtigingen lezen
microsoft.directory/organization/standard/read Basiseigenschappen in een organisatie lezen
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Vertrouwde certificeringsinstanties lezen voor verificatie zonder wachtwoord
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleid lezen
microsoft.directory/roleAssignments/standard/read Basiseigenschappen voor roltoewijzingen lezen
microsoft.directory/roleDefinitions/standard/read Basiseigenschappen van roldefinities lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Roltoewijzingen voor service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignments/read Roltoewijzingen lezen die zijn toegewezen aan service-principals
microsoft.directory/servicePrincipals/standard/read Basiseigenschappen van service-principals lezen
microsoft.directory/servicePrincipals/memberOf/read De groepslidmaatschap voor service-principals lezen
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Gedelegeerde machtigingen voor service-principals lezen
microsoft.directory/servicePrincipals/owners/read Eigenaren van service-principals lezen
microsoft.directory/servicePrincipals/ownedObjects/read Objecten in eigendom van service-principals lezen
microsoft.directory/servicePrincipals/policies/read Beleidsregels van service-principals lezen
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen
microsoft.directory/users/appRoleAssignments/read Toepassingsroltoewijzingen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read Apparaat lezenForResourceAccount van gebruikers
microsoft.directory/users/directReports/read De directe rapporten voor gebruikers lezen
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Leesbeheer van gebruikers
microsoft.directory/users/memberOf/read De groepslidmaatschap van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingen voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten in eigendom van gebruikers lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Gebruikerslidmaatschap van een Azure AD-rol lezen die is beperkt tot een beheereenheid

Adreslijstsynchronisatieaccounts

Niet gebruiken. Deze rol wordt automatisch toegewezen aan de Azure AD Verbinding maken service en is niet bedoeld of ondersteund voor ander gebruik.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles voor alle typen toepassingen bijwerken
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/organization/dirSync/update De synchronisatie-eigenschap van de organisatiemap bijwerken
microsoft.directory/policies/create Beleid maken in Azure AD
microsoft.directory/policies/delete Beleid verwijderen in Azure AD
microsoft.directory/policies/standard/read Basiseigenschappen over beleid lezen
microsoft.directory/policies/owners/read Eigenaars van beleid lezen
microsoft.directory/policies/policyAppliedTo/read De eigenschap policies.policyAppliedTo lezen
microsoft.directory/policies/basic/update Basiseigenschappen voor beleid bijwerken
microsoft.directory/policies/owners/update Eigenaren van beleid bijwerken
microsoft.directory/policies/tenantDefault/update Standaardbeleid voor organisaties bijwerken
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor een enkele aanmelding beheren voor service-principals
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor een aanmelding voor service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Roltoewijzingen voor service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignments/read Roltoewijzingen lezen die zijn toegewezen aan service-principals
microsoft.directory/servicePrincipals/standard/read Basiseigenschappen van service-principals lezen
microsoft.directory/servicePrincipals/memberOf/read De groepslidmaatschap voor service-principals lezen
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Gedelegeerde machtigingen voor service-principals lezen
microsoft.directory/servicePrincipals/owners/read Eigenaren van service-principals lezen
microsoft.directory/servicePrincipals/ownedObjects/read Objecten in eigendom van service-principals lezen
microsoft.directory/servicePrincipals/policies/read Beleidsregels van service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Eigenschappen van de doelgroep voor service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Updatebeleid van service-principals
microsoft.directory/servicePrincipals/tag/update De tag-eigenschap voor service-principals bijwerken

Adreslijstschrijvers

Gebruikers met deze rol kunnen basisinformatie van gebruikers, groepen en service-principals lezen en bijwerken. Wijs deze rol alleen toe aan toepassingen die het Consent Framework niet ondersteunen. Deze mag niet worden toegewezen aan gebruikers.

Acties Beschrijving
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De dynamische lidmaatschapsregel voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die kunnen worden toegewezen aan rollen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/onPremWriteBack/update Werk Azure Active Directory bij om terug te schrijven naar on-premises met Azure AD-Verbinding maken
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update Werk de zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/create Groepsinstellingen maken
microsoft.directory/groupSettings/delete Groepsinstellingen verwijderen
microsoft.directory/groupSettings/basic/update Basiseigenschappen voor groepsinstellingen bijwerken
microsoft.directory/oAuth2PermissionGrants/create OAuth 2.0-machtigingen maken
microsoft.directory/oAuth2PermissionGrants/basic/update OAuth 2.0-machtigingen bijwerken
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Een service-principal directe toegang verlenen tot de gegevens van een groep
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Updatebeheer voor gebruikers
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken

Domain Name Administrator

Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook mapinformatie lezen over gebruikers, groepen en toepassingen, omdat deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen voor federatie configureren, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Azure AD-services met hun on-premises wachtwoorden via een een aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Azure AD Verbinding maken, zodat gebruikers ook machtigingen hebben voor het beheren van Azure AD-Verbinding maken.

Acties Beschrijving
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Dynamics 365-beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Dynamics 365 Online wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Meer informatie vindt u in De servicebeheerdersrol gebruiken om uw Azure AD-organisatie te beheren.

Notitie

In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Dynamics 365 Service Administrator'. Het is 'Dynamics 365 Administrator' in de Azure Portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Edge-beheerder

Gebruikers met deze rol kunnen de lijst met bedrijfssite's maken en beheren die vereist is voor Internet Explorer modus op Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt daarnaast toegang tot het beheren van ondersteuningstickets. Meer informatie

Acties Beschrijving
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van de Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Exchange Beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle groepen Microsoft 365 beheren, ondersteuningstickets te beheren en de service health te bewaken. Meer informatie op Over Microsoft 365 beheerdersrollen.

Notitie

In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Exchange Service Administrator'. Het is 'Exchange Administrator' in de Azure Portal. Het is 'Exchange Online administrator' in het Exchange-beheercentrum.

Acties Beschrijving
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Groepen Microsoft 365 herstellen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Exchange Beheerder ontvanger

Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van die ontvangers in Exchange Online. Meer informatie vindt u Exchange Ontvangers.

Acties Beschrijving
microsoft.office365.exchange/allRecipients/allProperties/allTasks Maak en verwijder alle ontvangers en lees en werk alle eigenschappen van ontvangers in Exchange Online
microsoft.office365.exchange/messageTracking/allProperties/allTasks Alle taken beheren in het bijhouden van berichten in Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Alle taken beheren die betrekking hebben op de migratie van ontvangers in Exchange Online

Beheerder van externe id-gebruikersstromen

Gebruikers met deze rol kunnen gebruikersstromen (ook wel ingebouwd beleid genoemd) maken en beheren in de Azure Portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Azure AD-organisatie. Aan de andere kant omvat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework beleidsregels (ook wel aangepaste beleidsregels genoemd) vallen ook buiten het bereik van deze rol.

Acties Beschrijving
microsoft.directory/b2cUserFlow/allProperties/allTasks Gebruikerskenmerken lezen en configureren in Azure Active Directory B2C

Beheerder van externe id-gebruikersstroomkenmerken

Gebruikers met deze rol voegen aangepaste kenmerken toe of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Azure AD-organisatie. Als zodanig kunnen gebruikers met deze rol nieuwe elementen aan het eindgebruikersschema wijzigen of toevoegen en invloed hebben op het gedrag van alle gebruikersstromen en indirect resulteren in wijzigingen in welke gegevens van eindgebruikers kunnen worden gevraagd en uiteindelijk als claims naar toepassingen worden verzonden. Met deze rol kunnen gebruikersstromen niet worden bewerkt.

Acties Beschrijving
microsoft.directory/b2cUserAttribute/allProperties/allTasks Aangepast beleid lezen en configureren in Azure Active Directory B2C

Beheerder van externe id-providers

Deze beheerder beheert federatie tussen Azure AD-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Azure AD-organisatie in staat stellen om verificaties van externe id-providers te vertrouwen. De resulterende impact op de ervaringen van eindgebruikers is afhankelijk van het type organisatie:

  • Azure AD-organisaties voor werknemers en partners: de toevoeging van een federatie (bijvoorbeeld met Gmail) heeft onmiddellijk invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als id-provider voor B2B-gastgebruikers.
  • Azure Active Directory B2C-organisaties: het toevoegen van een federatie (bijvoorbeeld met Facebook of met een andere Azure AD-organisatie) heeft niet onmiddellijk invloed op stromen van eindgebruikers totdat de id-provider als optie is toegevoegd in een gebruikersstroom (ook wel ingebouwd beleid genoemd). Zie Configuring a Microsoft-account as an identity provider (Een Microsoft-account configureren als id-provider) voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol 'B2C User Flow Administrator' vereist.
Acties Beschrijving
microsoft.directory/identityProviders/allProperties/allTasks Id-providers lezen en configureren in Azure Active Directory B2C

Hoofdbeheerder

Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure Active Directory, evenals services die gebruikmaken van Azure Active Directory-identiteiten zoals Microsoft 365 Security Center, Microsoft 365-compliancecentrum, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Bovendien kunnen globale beheerders hun toegangsbeheer verhogen om alle Azure-abonnementen en -beheergroepen te beheren. Hierdoor kunnen globale beheerders volledige toegang krijgen tot alle Azure-resources met behulp van de respectieve Azure AD-tenant. De persoon die zich voor de Azure AD-organisatie meldt, wordt een globale beheerder. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen.

Notitie

Als best practice raadt Microsoft u aan om de rol van globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices for Azure AD roles (Best practices voor Azure AD-rollen) voor meer informatie.

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/allTasks Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken, en toegangsbeoordelingen van groepen beheren in Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden maken en beheren (inclusief leden)
microsoft.directory/applications/allProperties/allTasks Toepassingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantieren op basis van toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
microsoft.directory/bitlockerKeys/key/read Bitlocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/cloudAppSecurity/allProperties/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen in Microsoft Cloud App Security
microsoft.directory/connectors/create Toepassingsproxyconnectoren maken
microsoft.directory/connectors/allProperties/read Alle eigenschappen van toepassingsproxyconnectoren lezen
microsoft.directory/connectorGroups/create Connectorgroepen voor toepassingsproxy maken
microsoft.directory/connectorGroups/delete Connectorgroepen voor toepassingsproxy verwijderen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor toepassingsproxy lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van connectorgroepen voor toepassingsproxy's bijwerken
microsoft.directory/contacts/allProperties/allTasks Contactpersonen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/contracts/allProperties/allTasks Partnercontracten maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/deletedItems/delete Permanent objecten verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems/restore Zacht verwijderde objecten herstellen naar de oorspronkelijke staat
microsoft.directory/devices/allProperties/allTasks Apparaten maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen voor toepassingsbeleid voor apparaatbeheer bijwerken
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor apparaatregistratiebeleid lezen
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor apparaatregistratiebeleid bijwerken
microsoft.directory/directoryRoles/allProperties/allTasks Maprollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Azure AD-rolsjablonen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen, en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer
microsoft.directory/groups/allProperties/allTasks Groepen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Rol toewijsbare groepen verwijderen
microsoft.directory/groupsAssignableToRoles/restore Rol toewijsbare groepen herstellen
microsoft.directory/groupsAssignableToRoles/allProperties/update Rol toewijsbare groepen bijwerken
microsoft.directory/groupSettings/allProperties/allTasks Groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupSettingTemplates/allProperties/allTasks Sjablonen voor groepsinstelling maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/identityProtection/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks LoginTenantBranding maken en verwijderen, en alle eigenschappen lezen en bijwerken
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Machtigingen voor OAuth 2.0 maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/organization/allProperties/allTasks Alle eigenschappen voor een organisatie lezen en bijwerken
microsoft.directory/policies/allProperties/allTasks Beleid maken en verwijderen, en alle eigenschappen lezen en bijwerken
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Alle eigenschappen van beleid voor voorwaardelijke toegang beheren
microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in de Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen, en alle eigenschappen lezen en bijwerken
microsoft.directory/serviceAction/activateService Kan de actie 'service activeren' voor een service uitvoeren
microsoft.directory/serviceAction/disableDirectoryFeature Kan de serviceactie Mapfunctie uitschakelen uitvoeren
microsoft.directory/serviceAction/enableDirectoryFeature Kan de serviceactie Mapfunctie inschakelen uitvoeren
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipals/allProperties/allTasks Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke toepassing
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Een service-principal directe toegang verlenen tot de gegevens van een groep
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, met inbegrip van bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/allTasks Abonnementen kopen en beheren en abonnementen verwijderen
microsoft.directory/users/allProperties/allTasks Gebruikers maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/permissionGrantPolicies/create Beleid voor het verlenen van machtigingen maken
microsoft.directory/permissionGrantPolicies/delete Beleid voor het verlenen van machtigingen verwijderen
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleidsregels voor machtigingen verlenen lezen
microsoft.directory/permissionGrantPolicies/basic/update Basiseigenschappen van beleidsregels voor het verlenen van machtigingen bijwerken
microsoft.directory/servicePrincipalCreationPolicies/create Beleid voor het maken van een service-principal maken
microsoft.directory/servicePrincipalCreationPolicies/delete Beleid voor het maken van een service-principal verwijderen
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleid voor het maken van service-principals lezen
microsoft.directory/servicePrincipalCreationPolicies/basic/update Basiseigenschappen van beleid voor het maken van service-principals bijwerken
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een verifieerbare referentiekaart lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een verifieerbare referentiekaart intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een verifieerbaar referentiecontract maken
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een verifieerbaar referentiecontract lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een verifieerbaar referentiecontract bijwerken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties en het verwijderen van alle verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/read Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.commerce.billing/allEntities/allTasks Alle aspecten van Office 365 beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van Microsoft Edge
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliance Manager beheren
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudskennis lezen en bijwerken in Microsoft 365-beheercentrum
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analyserapporten van inhoudskennis lezen in Microsoft 365-beheercentrum
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in de Microsoft 365-beheercentrum
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerp van kennisnetwerk in Microsoft 365-beheercentrum
microsoft.office365.knowledge/learningSources/allProperties/allTasks Leerbronnen en alle eigenschappen in de app Learning beheren.
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Alle aspecten van de beveiligings- en compliancecentrums beheren
microsoft.office365.search/content/manage Inhoud maken en verwijderen, en alle eigenschappen in de Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in het Microsoft 365 Security and Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van nieuwe berichten lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.powerApps/allEntities/allTasks Alle aspecten van de Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van Power BI
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender for Endpoint beheren
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van de updateservice Windows en configureren

Algemene lezer

Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365 lezen, maar kunnen geen beheeracties uitvoeren. Globale lezer is de alleen-lezen tegenhanger voor globale beheerder. Wijs Globale lezer toe in plaats van globale beheerder voor planning, controles of onderzoeken. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange Administrator, om het gemakkelijker te maken om werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Beveiligingscentrum, Compliancecentrum, Azure AD-beheercentrum en Beheercentrum voor apparaatbeheer.

Notitie

De rol Globale lezer heeft op dit moment enkele beperkingen:

Deze functies zijn momenteel in ontwikkeling.

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen
microsoft.directory/administrativeUnits/allProperties/read Alle eigenschappen van beheereenheden lezen
microsoft.directory/applications/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) voor alle typen toepassingen lezen
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read Bitlocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/cloudAppSecurity/allProperties/read Alle eigenschappen voor Cloud App Security lezen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van toepassingsproxyconnectoren lezen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor toepassingsproxy lezen
microsoft.directory/contacts/allProperties/read Alle eigenschappen voor contactpersonen lezen
microsoft.directory/devices/allProperties/read Alle eigenschappen op apparaten lezen
microsoft.directory/directoryRoles/allProperties/read Alle eigenschappen voor Azure AD-rollen lezen
microsoft.directory/directoryRoleTemplates/allProperties/read Alle eigenschappen voor rolsjablonen lezen
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/groups/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) lezen in beveiligingsgroepen en Microsoft 365 groepen, met inbegrip van groepen die kunnen worden toegewezen aan rollen
microsoft.directory/groupSettings/allProperties/read Alle eigenschappen van groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/allProperties/read Alle eigenschappen van groepsinstellingssjablonen lezen
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Alle eigenschappen voor de aanmeldingspagina met huismerk van uw organisatie lezen
microsoft.directory/oAuth2PermissionGrants/allProperties/read Alle eigenschappen van OAuth 2.0-machtigingen lezen
microsoft.directory/organization/allProperties/read Alle eigenschappen voor een organisatie lezen
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleidsregels voor machtigingen verlenen lezen
microsoft.directory/policies/allProperties/read Alle eigenschappen van beleid lezen
microsoft.directory/conditionalAccessPolicies/allProperties/read Alle eigenschappen van beleid voor voorwaardelijke toegang lezen
microsoft.directory/crossTenantAccessPolicies/allProperties/read Alle eigenschappen van beleid voor verschillende tenants lezen
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor apparaatregistratiebeleid lezen
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/roleAssignments/allProperties/read Alle eigenschappen van roltoewijzingen lezen
microsoft.directory/roleDefinitions/allProperties/read Alle eigenschappen van roldefinities lezen
microsoft.directory/scopedRoleMemberships/allProperties/read Leden in beheereenheden weergeven
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipals/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) lezen in servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleid voor het maken van service-principals lezen
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/read Alle eigenschappen van productabonnementen lezen
microsoft.directory/users/allProperties/read Alle eigenschappen van gebruikers lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een verifieerbare referentiekaart lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een verifieerbaar referentiecontract lezen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Leesconfiguratie vereist voor het maken en beheren van verifieerbare referenties
microsoft.cloudPC/allEntities/allProperties/read Alle aspecten van Windows 365 lezen
microsoft.commerce.billing/allEntities/read Lees alle resources van Office 365 facturering
microsoft.edge/allEntities/allProperties/read Lees alle aspecten van Microsoft Edge
microsoft.office365.exchange/allEntities/standard/read Alle resources van Exchange Online
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.protectionCenter/allEntities/allProperties/read Alle eigenschappen in de beveiligings- en nalevingscentrums lezen
microsoft.office365.securityComplianceCenter/allEntities/read Standaardeigenschappen lezen in Microsoft 365 Security and Compliance Center
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.windows.updatesDeployments/allEntities/allProperties/read Lees alle aspecten van Windows Update-service

Groepsbeheerder

Gebruikers met deze rol kunnen groepen en de instellingen ervan maken/beheren, zoals naamgeving en verloopbeleid. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan deze rol hen de mogelijkheid biedt om alle groepen in de organisatie te beheren in verschillende workloads, zoals Teams, SharePoint en Yammer, naast Outlook. De gebruiker kan ook de verschillende instellingen voor groepen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, Azure Portal, evenals workloadspecifieke instellingen zoals Teams en SharePoint-beheercentrums.

Acties Beschrijving
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en groepen Microsoft 365 verwijderen, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, inclusief groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Verwijderde groepen herstellen
microsoft.directory/groups/basic/update Basiseigenschappen van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die kunnen worden toegewezen aan rollen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/onPremWriteBack/update Werk Azure Active Directory groepen bij die moeten worden teruggeschreven naar on-premises met Azure AD-Verbinding maken
microsoft.directory/groups/owners/update Update owners of Security groups and Microsoft 365 groups, excluding role-assignable groups
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Een service-principal directe toegang verlenen tot de gegevens van een groep
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Afzender van gastuitnodigingen

Gebruikers met deze rol kunnen Azure Active Directory B2B-uitnodigingen voor gastgebruikers beheren wanneer de gebruikersinstelling Leden kunnen uitnodigen is ingesteld op Nee. Meer informatie over B2B-samenwerking vindt u in About Azure AD B2B collaboration (Over Azure AD B2B-samenwerking). Het bevat geen andere machtigingen.

Acties Beschrijving
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/standard/read Basiseigenschappen van gebruikers lezen
microsoft.directory/users/appRoleAssignments/read Toepassingsroltoewijzingen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read Apparaat lezenForResourceAccount van gebruikers
microsoft.directory/users/directReports/read De directe rapporten voor gebruikers lezen
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Leesbeheerder van gebruikers
microsoft.directory/users/memberOf/read De groepslidmaatschap van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingen voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten van gebruikers in eigendom lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Gebruikerslidmaatschap van een Azure AD-rol lezen die is beperkt tot een beheereenheid

Helpdeskbeheerder

Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, serviceaanvragen beheren en de service health bewaken. Als u een vernieuwings token ongeldig maakt, wordt de gebruiker weer om zich aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol die aan de gebruiker is toegewezen. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een helpdeskbeheerder kan gebruiken om wachtwoorden opnieuw in te stellen en vernieuwingstokens ongeldig te maken.

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Het wijzigen van het wachtwoord van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:

  • Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van apps die ze in hun bezit hebben. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders niet verleend aan helpdeskbeheerders. Via dit pad kan een helpdeskbeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie in Azure.
  • Beveiligingsgroep en Microsoft 365,die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridische medewerkers en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.

Het delegeren van beheerdersmachtigingen over subsets van gebruikers en het toepassen van beleid op een subset van gebruikers is mogelijk met beheereenheden.

Deze rol heette eerder Wachtwoordbeheerder in de Azure Portal. De naam van de helpdeskbeheerder in Azure AD komt nu overeen met de naam in Azure AD PowerShell en de Microsoft Graph-API.

Acties Beschrijving
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Hybrid Identity-beheerder

Gebruikers met deze rol kunnen configuratie-instellingen voor inrichting maken, beheren en implementeren vanuit AD naar Azure AD met behulp van Cloud provisioning en Azure AD-Verbinding maken en federatie-instellingen beheren. Gebruikers kunnen ook problemen met logboeken oplossen en bewaken met behulp van deze rol.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Opmerkingen bij het bijwerken van toepassingen
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantieren op basis van toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, met inbegrip van bevoegde eigenschappen
microsoft.directory/cloudProvisioning/allProperties/allTasks Alle eigenschappen van Azure AD Cloud Provisioning Service lezen en configureren.
microsoft.directory/deletedItems.applications/delete Toepassingen permanent verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.applications/restore Zacht verwijderde toepassingen herstellen naar de oorspronkelijke staat
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
microsoft.directory/organization/dirSync/update De synchronisatie-eigenschap van de organisatiemap bijwerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Inrichtingsgeheimen en -referenties voor toepassingen beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Opmerkingen van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/tag/update De tag-eigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Identity Governance-beheerder

Gebruikers met deze rol kunnen de configuratie van Identiteitsbeheer van Azure AD beheren, waaronder toegangspakketten, toegangsbeoordelingen, catalogi en beleid, om ervoor te zorgen dat toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/allTasks Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen, en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken

Insights-beheerder

Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft 365 Insights toepassing. Deze rol biedt de mogelijkheid om mapgegevens te lezen, de status van de service te controleren, tickets voor bestandsondersteuning te gebruiken en toegang te krijgen tot de Insights instellingen van beheerders.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.insights/allEntities/allTasks Alle aspecten van een app Insights beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Insights-bedrijfsleider

Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft 365 Insights toepassing. Dit omvat volledige toegang tot alle dashboards en functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot de configuratie-instellingen van het product. Dit is de verantwoordelijkheid van de Insights beheerdersrol.

Acties Beschrijving
microsoft.insights/reports/read Rapporten en dashboards weergeven in Insights app
microsoft.insights/programs/update Programma's implementeren en beheren in Insights app

Intune-beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te koppelen, en om groepen te maken en te beheren. Zie Op rollen gebaseerd beheer (RBAC) met Microsoft Intune.

Met deze rol kunt u alle beveiligingsgroepen maken en beheren. De Intune-beheerder heeft echter geen beheerdersrechten voor Office groepen. Dit betekent dat de beheerder eigenaren of lidmaatschappen van alle Office in de organisatie niet kan bijwerken. Hij/zij kan echter de Office die hij maakt, die deel uitmaakt van zijn/haar bevoegdheden voor eindgebruikers. Dus elke Office groep (geen beveiligingsgroep) die hij/zij maakt, moet worden meegetelde in zijn/haar quotum van 250.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Intune-servicebeheerder'. Het is 'Intune-beheerder' in de Azure Portal.

Acties Beschrijving
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/devices/create Apparaten maken (inschrijven bij Azure AD)
microsoft.directory/devices/delete Apparaten verwijderen uit Azure AD
microsoft.directory/devices/disable Apparaten uitschakelen in Azure AD
microsoft.directory/devices/enable Apparaten inschakelen in Azure AD
microsoft.directory/devices/basic/update Basiseigenschappen op apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet1/update De extensionAttribute1 bijwerken naar extensionAttribute5-eigenschappen op apparaten
microsoft.directory/devices/extensionAttributeSet2/update De extensionAttribute6 bijwerken naar extensionAttribute10-eigenschappen op apparaten
microsoft.directory/devices/extensionAttributeSet3/update De extensionAttribute11 bijwerken naar extensionAttribute15-eigenschappen op apparaten
microsoft.directory/devices/registeredOwners/update Geregistreerde eigenaren van apparaten bijwerken
microsoft.directory/devices/registeredUsers/update Geregistreerde gebruikers van apparaten bijwerken
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleid voor apparaatbeheer lezen
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor apparaatregistratiebeleid lezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, inclusief groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/classification/update De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/dynamicMembershipRule/update Dynamische lidmaatschapsregel van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/visibility/update De zichtbaarheids-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Updatebeheer voor gebruikers
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Kaizala-beheerder

Gebruikers met deze rol hebben globale machtigingen voor het beheren van instellingen binnen Microsoft Kaizala, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten met betrekking tot de acceptatie & gebruik van Kaizala door leden van de organisatie en zakelijke rapporten die zijn gegenereerd met behulp van de Kaizala acties.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Kennisbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in de Microsoft 365-beheercentrum. Ze hebben een algemeen begrip van de suite met producten, licentiegegevens en zijn verantwoordelijk voor het beheer van de toegang. Kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentra maken, de service status bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Maak Beveiligingsgroepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudskennis lezen en bijwerken in Microsoft 365-beheercentrum
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in de Microsoft 365-beheercentrum
microsoft.office365.knowledge/learningSources/allProperties/allTasks Leerbronnen en alle eigenschappen in de app Learning beheren.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Lees alle eigenschappen van gevoeligheidslabels in de beveiligings- en nalevingscentra
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Knowledge Manager

Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Deze gebruikers zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van de kennis. Deze gebruiker heeft volledige rechten voor acties voor onderwerpbeheer om een onderwerp te bevestigen, bewerkingen goed te keuren of een onderwerp te verwijderen. Deze rol kan ook taxonomie beheren als onderdeel van het term winkelbeheerprogramma en het maken van inhoudscentra.

Acties Beschrijving
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Maak Beveiligingsgroepen, met uitzondering van groepen die aan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analytische rapporten over inhoudskennis lezen in Microsoft 365-beheercentrum
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerp van kennisnetwerk in Microsoft 365-beheercentrum
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Licentiebeheerder

Gebruikers met deze rol kunnen licentietoewijzingen toevoegen, verwijderen en bijwerken voor gebruikers, groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of te beheren, of om gebruikers buiten de gebruikslocatie te maken of te beheren. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/usageLocation/update Gebruikslocatie van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Berichtencentrum-privacylezer

Gebruikers met deze rol kunnen alle meldingen in de Berichtencentrum, inclusief privacyberichten over gegevens. Berichtencentrum privacylezers ontvangen e-mailmeldingen met betrekking tot gegevensbescherming en ze kunnen zich afmelden met behulp van Berichtencentrum Voorkeuren. Alleen de globale beheerder en de Berichtencentrum privacylezer kunnen privacyberichten over gegevens lezen. Daarnaast bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen weer te geven. Deze rol heeft geen machtiging voor het weergeven, maken of beheren van serviceaanvragen.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Lees beveiligingsberichten in Berichtencentrum in de Microsoft 365-beheercentrum
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Berichtencentrum-lezer

Gebruikers met deze rol kunnen meldingen en advies over statusupdates in Berichtencentrum voor hun organisatie controleren voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum lezers wekelijkse samenvattingen van berichten en updates ontvangen en berichten van berichtencentrums kunnen delen in Microsoft 365. In Azure AD hebben gebruikers die zijn toegewezen aan deze rol alleen-lezentoegang tot Azure AD-services, zoals gebruikers en groepen. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Moderne Commerce-gebruiker

Niet gebruiken. Deze rol wordt automatisch toegewezen vanuit Commerce en is niet bedoeld of ondersteund voor ander gebruik. Zie hieronder voor meer informatie.

De rol Modern Commerce-gebruiker geeft bepaalde gebruikers toestemming om toegang te krijgen tot Microsoft 365-beheercentrum en bekijk de linkernavigatiegegevens voor Start, Facturering en Ondersteuning. De inhoud die in deze gebieden beschikbaar is, wordt beheerd door commerce-specifieke rollen die zijn toegewezen aan gebruikers voor het beheren van producten die ze voor zichzelf of uw organisatie hebben gekocht. Dit kunnen taken zijn zoals het betalen van facturen of voor toegang tot factureringsrekeningen en factureringsprofielen.

Gebruikers met de rol Modern Commerce-gebruiker hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben geen globale beheerder- of factureringsbeheerderrollen die worden gebruikt voor toegang tot het beheercentrum.

Wanneer wordt de rol Modern Commerce-gebruiker toegewezen?

  • Selfserviceaankoop in Microsoft 365-beheercentrum: selfserviceaankoop biedt gebruikers de mogelijkheid om nieuwe producten uit te proberen door ze zelf te kopen of te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfserviceaankoop doen, krijgen een rol toegewezen in het commercesysteem en de rol Modern Commerce-gebruiker, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheerders kunnen selfserviceaankopen blokkeren (voor Power BI, Power Apps, Power automate) via PowerShell. Zie Veelgestelde vragen over aankopen via self-service voor meer informatie.
  • Aankopen via de commerciële marketplace van Microsoft: net als bij aankopen via self-service wordt de rol Modern Commerce-gebruiker toegewezen wanneer een gebruiker een product of service koopt bij Microsoft AppSource of Azure Marketplace als deze niet de rol van globale beheerder of factureringsbeheerder heeft. In sommige gevallen kunnen gebruikers deze aankopen mogelijk niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
  • Voorstellen van Microsoft: een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert geen rol van globale beheerder of factureringsbeheerder heeft in Azure AD, krijgt deze persoon zowel een commerce-specifieke rol om het voorstel te voltooien als de rol Modern Commerce-gebruiker om toegang te krijgen tot het beheercentrum. Wanneer ze toegang hebben tot het beheercentrum, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
  • Commerce-specifieke rollen: aan sommige gebruikers zijn handelsspecifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol Modern Commerce-gebruiker, zodat deze toegang heeft tot het beheercentrum.

Als de rol Modern Commerce-gebruiker niet is toegewezen aan een gebruiker, heeft deze geen toegang meer tot Microsoft 365-beheercentrum. Als ze producten voor zichzelf of voor uw organisatie beheren, kunnen ze ze niet beheren. Dit kan bestaan uit het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen.

Acties Beschrijving
microsoft.commerce.billing/partners/read Partner-eigenschap van Microsoft 365 Billing lezen
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Alle aspecten van het Volume Licensing Service Center beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/basic/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Netwerkbeheerder

Gebruikers met deze rol kunnen aanbevelingen voor netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerk-telemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van een zorgvuldige bedrijfsnetwerkperimeterarchitectuur die doorgaans specifiek is voor de gebruikerslocatie. Met deze rol kunt u de gevonden gebruikerslocaties en de configuratie van netwerkparameters voor deze locaties bewerken om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken

Acties Beschrijving
microsoft.office365.network/locations/allProperties/allTasks Alle aspecten van netwerklocaties beheren
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Beheerder van Office-apps

Gebruikers met deze rol kunnen de cloudinstellingen Microsoft 365 apps beheren. Dit omvat het beheren van cloudbeleid, selfservice downloadbeheer en de mogelijkheid om een rapport Office apps weer te geven. Deze rol biedt ook de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken in het hoofdbeheerderscentrum. Gebruikers die aan deze rol zijn toegewezen, kunnen ook de communicatie van nieuwe functies in Office beheren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van nieuwe berichten lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Laag1-ondersteuning voor partner

Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Azure AD. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-partners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen wachtwoorden opnieuw worden ingesteld en vernieuwingstokens alleen ongeldig worden voor niet-beheerders. Deze rol mag niet worden gebruikt omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.

Acties Beschrijving
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Opmerkingen bij het bijwerken van toepassingen
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/groups/create Beveiligingsgroepen en groepen Microsoft 365 maken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/delete Beveiligingsgroepen en groepen Microsoft 365 verwijderen, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/restore Verwijderde groepen herstellen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups/owners/update Update owners of Security groups and Microsoft 365 groups, excluding role-assignable groups
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Machtigingen voor OAuth 2.0 maken en verwijderen, en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Updatebeheer voor gebruikers
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Laag2-ondersteuning voor partner

Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Azure AD. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-partners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen wachtwoorden opnieuw worden ingesteld en vernieuwingstokens voor alle niet-beheerders en beheerders (inclusief globale beheerders) ongeldig worden. Deze rol mag niet worden gebruikt omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.

Acties Beschrijving
microsoft.directory/applications/appRoles/update De eigenschap appRoles voor alle typen toepassingen bijwerken
microsoft.directory/applications/audience/update De doelgroep-eigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update Verificatie bijwerken voor alle typen toepassingen
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update Eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update Beschikbaar gemaakt machtigingen en vereiste machtigingen voor alle typen toepassingen bijwerken
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/restore Verwijderde groepen herstellen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/organization/basic/update Basiseigenschappen van de organisatie bijwerken
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Updatebeheer voor gebruikers
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Wachtwoordbeheerder

Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de service health te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol die aan de gebruiker is toegewezen. Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen voor wie een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.

Acties Beschrijving
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Power BI Beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken. Meer informatie vindt u in Inzicht Power BI rol van beheerder.

Notitie

In de Microsoft Graph API en Azure AD PowerShell wordt deze rol aangeduid als 'Power BI Service Administrator'. Het is 'Power BI Administrator' in de Azure Portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van de Power BI

Power Platform-beheerder

Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid ter preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum
microsoft.powerApps/allEntities/allTasks Alle aspecten van de Power Apps

Printerbeheerder

Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universeel afdrukken-oplossing beheren, met inbegrip van de instellingen Universeel afdrukken Connector. Ze kunnen toestemming geven voor alle gedelegeerde afdrukmachtigingsaanvragen. Printerbeheerders hebben ook toegang tot afdrukrapporten.

Acties Beschrijving
microsoft.azure.print/allEntities/allProperties/allTasks Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken

Printertechnicus

Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universeel afdrukken oplossing. Ze kunnen ook alle connectorgegevens lezen. De belangrijkste taak die een printertechnicus niet kan uitvoeren, is het instellen van gebruikersmachtigingen voor printers en het delen van printers.

Acties Beschrijving
microsoft.azure.print/connectors/allProperties/read Alle eigenschappen van connectors lezen in Microsoft Print
microsoft.azure.print/printers/allProperties/read Alle eigenschappen van printers lezen in Microsoft Print
microsoft.azure.print/printers/register Printers registreren in Microsoft Print
microsoft.azure.print/printers/unregister Registratie van printers in Microsoft Print ongedaan maken
microsoft.azure.print/printers/basic/update Basiseigenschappen van printers bijwerken in Microsoft Print

Bevoorrechte verificatiebeheerder

Gebruikers met deze rol kunnen elke verificatiemethode (inclusief wachtwoorden) instellen of opnieuw instellen voor elke gebruiker, inclusief globale beheerders. Beheerders met bevoegde verificatie kunnen gebruikers dwingen zich opnieuw te registreren op basis van bestaande niet-wachtwoordreferenties (zoals MFA of FIDO) en 'MFA onthouden op het apparaat' in te trekken, en vragen om MFA bij de volgende aanmelding van alle gebruikers.

De rol Verificatiebeheerder heeft toestemming om herregistratie en meervoudige verificatie af te dwingen voor standaardgebruikers en gebruikers met bepaalde beheerdersrollen.

De rol Verificatiebeleidsbeheerder heeft machtigingen om het verificatiemethodebeleid van de tenant in te stellen waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.

Rol Auth-methoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Beleid voor de auth-methode beheren Wachtwoordbeveiligingsbeleid beheren
Verificatiebeheerder Ja voor sommige gebruikers (zie hierboven) Ja voor sommige gebruikers (zie hierboven) Nee Nee Nee
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee
Verificatiebeleidsbeheerder Nee Nee Ja Ja Ja

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie binnen en buiten Azure Active Directory. Het wijzigen van de referenties van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:

  • Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoorrechte machtigingen in Azure AD en elders die niet zijn verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure.
  • Beveiligingsgroep en Microsoft 365, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridische medewerkers en medewerkers van human resources die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.

Belangrijk

Deze rol is momenteel niet geschikt voor het beheren van MFA per gebruiker in de verouderde MFA-beheerportal. Dezelfde functies kunnen worden uitgevoerd met behulp van de Azure AD Powershell-module Set-MsolUser-commandlet.

Acties Beschrijving
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Beheerder voor bevoorrechte rollen

Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure Active Directory en in Azure AD-Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Azure AD-rollen. Bovendien kunt u met deze rol alle aspecten van Privileged Identity Management beheereenheden beheren.

Belangrijk

Met deze rol kunt u toewijzingen voor alle Azure AD-rollen beheren, inclusief de rol Globale beheerder. Deze rol omvat geen andere bevoorrechte mogelijkheden in Azure AD, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen zichzelf of anderen echter extra bevoegdheden verlenen door extra rollen toe te wijzen.

Acties Beschrijving
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden maken en beheren (inclusief leden)
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
microsoft.directory/directoryRoles/allProperties/allTasks Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Rol toewijsbare groepen verwijderen
microsoft.directory/groupsAssignableToRoles/restore Rol toewijsbare groepen herstellen
microsoft.directory/groupsAssignableToRoles/allProperties/update Rol toewijsbare groepen bijwerken
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzing lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke toepassing
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Rapportenlezer

Gebruikers met deze rol kunnen gebruiksrapportagegegevens en het rapportdashboard in Microsoft 365-beheercentrum en het acceptatiecontextpakket in Power BI. Daarnaast biedt de rol toegang tot aanmeldingsrapporten en -activiteiten in Azure AD en gegevens die worden geretourneerd door de Microsoft Graph Reporting API. Een gebruiker die is toegewezen aan de rol Rapportlezer heeft alleen toegang tot relevante metrische gegevens over gebruik en acceptatie. Ze hebben geen beheerdersmachtigingen om instellingen te configureren of toegang te krijgen tot de productspecifieke beheercentrums, zoals Exchange. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.

Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Zoekbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search beheerfuncties in de Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de service status bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Maak en verwijder inhoud en lees en werk alle eigenschappen in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Zoekredacteur

Gebruikers met deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in de Microsoft 365-beheercentrum, waaronder bladwijzers, Q&As en locaties.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Lees berichten in Berichtencentrum in de Microsoft 365-beheercentrum, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Maak en verwijder inhoud en lees en werk alle eigenschappen in Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Beveiligingsbeheer

Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsfuncties in het Microsoft 365-beveiligingscentrum, Azure Active Directory Identity Protection, Azure Active Directory-verificatie, Azure Information Protection en Office 365 Security & Compliance Center. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.

In Wel
Microsoft 365 Security Center Beveiligingsbeleid voor alle Microsoft 365 bewaken
Beveiligingsrisico's en -waarschuwingen beheren
Rapporten weergeven
Identity Protection Center Alle machtigingen van de rol Beveiligingslezer
Daarnaast is het mogelijk om alle Bewerkingen van Identity Protection Center uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Kan geen Azure AD-roltoewijzingen of -instellingen beheren
Office 365 Security & Compliance Center Beveiligingsbeleid beheren
Beveiligingsrisico's weergeven, onderzoeken en hierop reageren
Rapporten weergeven
Azure Advanced Threat Protection Verdachte beveiligingsactiviteit bewaken en hierop reageren
Windows Defender ATP en EDR Rollen toewijzen
Machinegroepen beheren
Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren
Waarschuwingen weergeven, onderzoeken en hierop reageren
Intune Gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens worden bekeken
Kan geen wijzigingen aanbrengen in Intune
Cloud App Security Beheerders toevoegen, beleid en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren
Microsoft 365 service health De status van de Microsoft 365 weergeven
Slimme vergrendeling Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden.
Wachtwoordbeveiliging Aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging configureren.
Acties Beschrijving
microsoft.directory/applications/policies/update Beleidsregels van toepassingen bijwerken
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read Bitlocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection
microsoft.directory/identityProtection/allProperties/update Alle resources in Azure AD Identity Protection
microsoft.directory/policies/create Beleid maken in Azure AD
microsoft.directory/policies/delete Beleid verwijderen in Azure AD
microsoft.directory/policies/basic/update Basiseigenschappen voor beleid bijwerken
microsoft.directory/policies/owners/update Eigenaren van beleid bijwerken
microsoft.directory/policies/tenantDefault/update Standaardbeleid voor organisaties bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren bijwerken voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardten tenant voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/crossTenantAccessPolicies/create Toegangsbeleid voor verschillende tenants maken
microsoft.directory/crossTenantAccessPolicies/delete Toegangsbeleid voor alle tenants verwijderen
microsoft.directory/crossTenantAccessPolicies/standard/read Basiseigenschappen van toegangsbeleid voor verschillende tenants lezen
microsoft.directory/crossTenantAccessPolicies/owners/read Eigenaars van toegangsbeleid voor verschillende tenants lezen
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read De eigenschap policyAppliedTo van toegangsbeleid voor verschillende tenants lezen
microsoft.directory/crossTenantAccessPolicies/basic/update Basiseigenschappen van toegangsbeleid voor verschillende tenants bijwerken
microsoft.directory/crossTenantAccessPolicies/owners/update Eigenaren van toegangsbeleid voor verschillende tenants bijwerken
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update De standaard tenant bijwerken voor toegangsbeleid voor alle tenants
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/policies/update Updatebeleid van service-principals
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en compliancecentrums lezen
microsoft.office365.protectionCenter/allEntities/basic/update Basiseigenschappen van alle resources in de beveiligings- en nalevingscentrums bijwerken
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Nettoladingen voor aanvallen maken en beheren in de aanvalssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in de aanvalssimulator
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Beveiligingsoperator

Gebruikers met deze rol kunnen waarschuwingen beheren en hebben wereldwijde alleen-lezentoegang tot beveiligingsfuncties, waaronder alle informatie in Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management en Office 365 Security & Compliance Center. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.

In Wel
Microsoft 365 Security Center Alle machtigingen van de rol Beveiligingslezer
Waarschuwingen voor beveiligingsrisico's weergeven, onderzoeken en hierop reageren
Beveiligingsinstellingen beheren in Security Center
Azure AD-identiteitsbeveiliging Alle machtigingen van de rol Beveiligingslezer
Daarnaast is het mogelijk om alle Bewerkingen van Identity Protection Center uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden en het configureren van waarschuwings-e-mailberichten.
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Office 365 Security & Compliance Center Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen weergeven, onderzoeken en hierop reageren
Windows Defender ATP en EDR Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen weergeven, onderzoeken en hierop reageren
Intune Alle machtigingen van de rol Beveiligingslezer
Cloud App Security Alle machtigingen van de rol Beveiligingslezer
Microsoft 365 service health De status van de Microsoft 365 weergeven
Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen in Microsoft Cloud App Security
microsoft.directory/identityProtection/allProperties/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen in Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.intune/allEntities/read Alle resources in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Maak en verwijder alle resources en lees en werk standaardeigenschappen bij in het Microsoft 365 Security and Compliance Center
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender for Endpoint beheren

Beveiligingslezer

Gebruikers met deze rol hebben globale alleen-lezentoegang tot beveiligingsgerelateerde functies, waaronder alle informatie in Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management, evenals de mogelijkheid om Azure Active Directory-aanmeldingsrapporten en auditlogboeken te lezen en in Office 365 Security & Compliance Center. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het Security & Compliance Center.

In Wel
Microsoft 365 Security Center Beveiligingsbeleid voor alle Microsoft 365 weergeven
Beveiligingsrisico's en -waarschuwingen weergeven
Rapporten weergeven
Identity Protection Center Lees alle beveiligingsrapporten en instellingeninformatie voor beveiligingsfuncties
  • Anti-spam
  • Versleuteling
  • Preventie van gegevensverlies
  • Antimalware
  • Geavanceerde beveiliging tegen bedreigingen
  • Anti-phishing
  • E-mailstroomregels
Privileged Identity Management Heeft alleen-lezentoegang tot alle informatie die in Azure AD Privileged Identity Management: beleidsregels en rapporten voor Azure AD-roltoewijzingen en beveiligingsbeoordelingen.
Kan niet registreren voor Azure AD-Privileged Identity Management of wijzigingen aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand met deze rol aanvullende rollen activeren (bijvoorbeeld Globale beheerder of Beheerder met bevoorrechte rol), als de gebruiker hiervoor in aanmerking komt.
Office 365 Security & Compliance Center Beveiligingsbeleid bekijken
Beveiligingsrisico's weergeven en onderzoeken
Rapporten weergeven
Windows Defender ATP en EDR Waarschuwingen weergeven en onderzoeken. Wanneer u op rollen gebaseerd toegangsbeheer in Windows Defender ATP in bedrijf hebt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Azure AD-beveiligingslezer, de toegang totdat ze zijn toegewezen aan een Windows Defender ATP-rol.
Intune kan alleen gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergeven. Kan geen wijzigingen aan Intune aanbrengen.
Cloud App Security Heeft leesmachtigingen en kan waarschuwingen beheren
Microsoft 365 service health De status van de Microsoft 365 weergeven
Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen van auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read Bitlocker-metagegevens en -sleutel lezen op apparaten
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection
microsoft.directory/policies/standard/read Basiseigenschappen over beleid lezen
microsoft.directory/policies/owners/read Eigenaars van beleid lezen
microsoft.directory/policies/policyAppliedTo/read De eigenschap policies.policyAppliedTo lezen
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen van aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en compliancecentrums lezen
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Alle eigenschappen van nettoladingen van aanvallen in de aanvalssimulator lezen
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Alle eigenschappen van sjablonen voor aanvalssimulatie lezen in Attack Simulator
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Serviceondersteuningsbeheerder

Gebruikers met deze rol kunnen ondersteuningsaanvragen openen bij Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure Portal en Microsoft 365-beheercentrum. Meer informatie op Over beheerdersrollen.

Notitie

Voorheen heette deze rol 'Servicebeheerder' in Azure Portal en Microsoft 365-beheercentrum. We hebben de naam gewijzigd in 'Service Support Administrator' om deze uit te lijnen met de naam in Microsoft Graph API, Azure AD Graph API en Azure AD PowerShell.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

SharePoint Beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Office SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de service health te bewaken. Meer informatie op Over beheerdersrollen.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'SharePoint servicebeheerder'. Het is 'SharePoint Administrator' in de Azure Portal.

Notitie

Met deze rol worden ook machtigingen voor het bereik verleend aan de Microsoft Graph-API voor Microsoft Intune, zodat beleidsregels met betrekking tot SharePoint- en OneDrive-resources kunnen worden beheer en configuratie.

Acties Beschrijving
microsoft.directory/groups.unified/create Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Groepen Microsoft 365 herstellen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Skype voor Bedrijven Beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, en beheren Skype-specifieke gebruikerskenmerken in Azure Active Directory. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren en de service health te bewaken, en toegang te krijgen tot Teams en Skype voor Bedrijven-beheercentrum. Het account moet ook een licentie hebben voor Teams of kan niet worden uitgevoerd Teams PowerShell-cmdlets. Meer informatie op Informatie over de Skype voor Bedrijven-beheerdersrol en Teams licentiegegevens vindt u Skype voor Bedrijven en Microsoft Teams-invoeglicenties

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol aangeduid als Lync Service-beheerder. Het is 'Skype voor Bedrijven Administrator' in de Azure Portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum

Teams Beheerder

Gebruikers met deze rol kunnen alle aspecten van de workload Microsoft Teams beheren via het Microsoft Teams & Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Deze rol biedt ook de mogelijkheid om alle groepen te maken en Microsoft 365 beheren, ondersteuningstickets te beheren en de service health te bewaken.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en beveiligingsgroepen Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Groepen Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Groepen Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Groepen Microsoft 365 herstellen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor groepen Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365 bijwerken, met uitzondering van rol toewijsbare groepen
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Een service-principal directe toegang verlenen tot de gegevens van een groep
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.network/performance/allProperties/read Alle netwerkprestatie-eigenschappen in de Microsoft 365-beheercentrum
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.teams/allEntities/allProperties/allTasks Alle resources in Teams

Teams-communicatiebeheerder

Gebruikers met deze rol kunnen aspecten van de werkbelasting van Microsoft Teams beheren met betrekking tot spraak& telefonie. Dit omvat de beheerhulpprogramma's voor het toewijzing van telefoonnummers, spraak- en vergaderingsbeleid en volledige toegang tot de toolset voor analyse van aanroepen.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Gebruiksrapporten Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.teams/callQuality/allProperties/read Alle gegevens lezen in het CQD (Call Quality Dashboard)
microsoft.teams/meetings/allProperties/allTasks Vergaderingen beheren, waaronder beleid voor vergaderingen, configuraties en conferentiebruggen
microsoft.teams/voice/allProperties/allTasks Spraak beheren, inclusief oproepbeleid en de inventarisatie en toewijzing van telefoonnummers

Ondersteuningstechnicus voor Teams-communicatie

Gebruikers met deze rol kunnen communicatieproblemen binnen een Microsoft Teams & Skype voor Bedrijven met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in Microsoft Teams & Skype voor Bedrijven beheercentrum. Gebruikers met deze rol kunnen informatie over volledige oproeprecords weergeven voor alle betrokken deelnemers. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.teams/callQuality/allProperties/read Alle gegevens lezen in het CQD (Call Quality Dashboard)

Ondersteuningsspecialist voor Teams-communicatie

Gebruikers met deze rol kunnen communicatieproblemen binnen een Microsoft Teams & Skype voor Bedrijven met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in Microsoft Teams & Skype voor Bedrijven beheercentrum. Gebruikers met deze rol kunnen alleen gebruikersdetails bekijken in de aanroep voor de specifieke gebruiker die ze hebben op gezocht. Deze rol heeft geen toegang tot het weergeven, maken of beheren van ondersteuningstickets.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.teams/callQuality/standard/read Basisgegevens lezen in het CQD (Call Quality Dashboard)

Teams-apparaatbeheerder

Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan de details van elk apparaat controleren, waaronder het aangemelde account, het make- en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen voor het controleren Teams activiteit en het aanroepen van de kwaliteit van het apparaat.

Acties Beschrijving
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen van alle resources in de Microsoft 365-beheercentrum
microsoft.teams/devices/standard/read Alle aspecten van door Teams gecertificeerde apparaten beheren, inclusief configuratiebeleid

Lezer van rapporten over gebruiksoverzichten

Gebruikers met deze rol hebben toegang tot geaggregeerde gegevens op tenantniveau en bijbehorende inzichten in Microsoft 365-beheercentrum voor gebruiks- en productiviteitsscore, maar hebben geen toegang tot details of inzichten op gebruikersniveau. In Microsoft 365-beheercentrum rapporten maken we onderscheid tussen geaggregeerde gegevens op tenantniveau en details op gebruikersniveau. Deze rol biedt een extra beschermingslaag voor afzonderlijke gebruikersgegevens die zijn aangevraagd door zowel klanten als juridische teams.

Acties Beschrijving
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in de Microsoft 365-beheercentrum
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde rapporten op tenantniveau Office 365 lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Gebruikersbeheerder

Gebruikers met deze rol kunnen gebruikers maken en alle aspecten van gebruikers beheren met een aantal beperkingen (zie de tabel) en het verloopbeleid voor wachtwoorden bijwerken. Daarnaast kunnen gebruikers met deze rol alle groepen maken en beheren. Deze rol omvat ook de mogelijkheid om gebruikersweergaven te maken en beheren, ondersteuningstickets te beheren en de service health te bewaken. Gebruikersbeheerders hebben geen machtiging voor het beheren van bepaalde gebruikerseigenschappen voor gebruikers in de meeste beheerdersrollen. Beheerders met deze rol hebben geen machtigingen voor het beheren van MFA of het beheren van gedeelde postvakken. De rollen die uitzonderingen op deze beperking zijn, worden vermeld in de volgende tabel.

Gebruikersbeheerdersmachtiging Notities
Gebruikers en groepen maken
Gebruikersweergaven maken en beheren
Ondersteuningstickets Office beheren
Verloopbeleid voor wachtwoorden bijwerken
Licenties beheren
Alle gebruikerseigenschappen beheren, behalve User Principal Name
Van toepassing op alle gebruikers, met inbegrip van alle beheerders
Verwijderen en herstellen
Uitschakelen en inschakelen
Alle gebruikerseigenschappen beheren, inclusief User Principal Name
FIDO-apparaatsleutels bijwerken
Is van toepassing op gebruikers die geen beheerder zijn of die een van de volgende rollen hebben:
  • Helpdeskbeheerder
  • Gebruiker zonder rol
  • Gebruikersbeheerder
Vernieuwingstokens ongeldig maken
Wachtwoord opnieuw instellen
Zie Machtigingen voor wachtwoord opnieuw instellen voor een lijst met de rollen die een gebruikersbeheerder kan gebruiken om wachtwoorden opnieuw in te stellen voor vernieuwingstokens en deze ongeldig te maken.

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Het wijzigen van het wachtwoord van een gebruiker kan betekenen dat de mogelijkheid wordt aangenomen dat de identiteit en machtigingen van de gebruiker. Bijvoorbeeld:

  • Toepassingsregistratie en eigenaren van bedrijfstoepassing, die de referenties kunnen beheren van de apps die ze hebben. Deze apps hebben mogelijk bevoorrechte machtigingen in Azure AD en elders die niet aan gebruikersbeheerders worden verleend. Via dit pad kan een gebruikersbeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoorrechte toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure.
  • Beveiligingsgroep en Microsoft 365, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, Office Security and Compliance Center en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridische medewerkers en medewerkers van human resources die mogelijk toegang hebben tot gevoelige of persoonlijke informatie.
Acties Beschrijving
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Azure AD-rechtenbeheer
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365 maken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365 verwijderen, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365 lezen, met inbegrip van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Verwijderde groepen herstellen
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update Werk de classificatie-eigenschap voor beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De dynamische lidmaatschapsregel voor beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype van beveiligingsgroepen en Microsoft 365 groepen, met uitzondering van groepen die rol kunnen toewijzen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Werk Azure Active Directory bij om terug te schrijven naar on-premises met Azure AD-Verbinding maken
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365 bijwerken, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update Werk de zichtbaarheids-eigenschap van beveiligingsgroepen en Microsoft 365 bij, met uitzondering van groepen die aan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen voor service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/invalidateAllRefreshTokens Meld u af door tokens voor gebruikersvernieuwing ongeldig te maken
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Updatebeheer voor gebruikers
microsoft.directory/users/password/update Wachtwoorden opnieuw instellen voor alle gebruikers
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Lees en configureer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tickets maken en ondersteuning voor Azure beheren
microsoft.office365.serviceHealth/allEntities/allTasks Lees en configureer Service Health in de Microsoft 365-beheercentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in de Microsoft 365-beheercentrum

Windows Update-implementatiebeheerder

Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van de update controleren.

Acties Beschrijving
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van de updateservice Windows en configureren

Inzicht krijgen in rolmachtigingen

Het schema voor machtigingen volgt losjes de REST-indeling van Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Bijvoorbeeld:

microsoft.directory/applications/credentials/update

Machtigingselement Description
naamruimte Het product of de service die de taak blootstelt en wordt voorbereid met microsoft . Alle taken in Azure AD gebruiken bijvoorbeeld de microsoft.directory naamruimte .
Entiteit Logische functie of onderdeel die wordt blootgesteld door de service in Microsoft Graph. Azure AD maakt bijvoorbeeld gebruikers en groepen beschikbaar, OneNote maakt notities beschikbaar en Exchange postvakken en agenda's. Er is een speciaal allEntities trefwoord voor het opgeven van alle entiteiten in een naamruimte. Dit wordt vaak gebruikt in rollen die toegang verlenen tot een volledig product.
propertySet Specifieke eigenschappen of aspecten van de entiteit waarvoor toegang wordt verleend. Verleent bijvoorbeeld microsoft.directory/applications/authentication/read de mogelijkheid om de antwoord-URL, de aanmeldings-URL en de impliciete stroom-eigenschap voor het toepassingsobject in Azure AD te lezen.
  • allProperties wijst alle eigenschappen van de entiteit aan, met inbegrip van bevoorrechte eigenschappen.
  • standard geeft algemene eigenschappen aan, maar sluit bevoorrechte eigenschappen met betrekking tot read actie uit. Omvat bijvoorbeeld de mogelijkheid om standaardeigenschappen te lezen, zoals een openbaar telefoonnummer en e-mailadres, maar niet het privé-secundaire telefoonnummer of e-mailadres dat wordt gebruikt voor microsoft.directory/user/standard/read meervoudige verificatie.
  • basic geeft algemene eigenschappen aan, maar sluit bevoorrechte eigenschappen met betrekking tot de update actie uit. De set eigenschappen die u kunt lezen, kan verschillen van wat u kunt bijwerken. Daarom zijn er trefwoorden standard en om dat weer te basic geven.
action Bewerking die wordt verleend, meestal maken, lezen, bijwerken of verwijderen (CRUD). Er is een speciaal trefwoord voor het opgeven van alle bovenstaande mogelijkheden allTasks (maken, lezen, bijwerken en verwijderen).

Afgeschafte rollen

De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst verwijderd uit Azure AD.

  • AdHoc-licentiebeheerder
  • Apparaat-join
  • Apparaatbeheerders
  • Apparaatgebruikers
  • Geverifieerde gebruiker per e-mail maken
  • Postvakbeheerder
  • Workplace Device Join

Rollen die niet worden weergegeven in de portal

Niet elke rol die wordt geretourneerd door PowerShell of de MS Graph-API is zichtbaar in Azure Portal. In de volgende tabel worden deze verschillen georganiseerd.

API-naam Azure-portaalnaam Notities
Apparaat-join Afgeschaft Documentatie over afgeschafte rollen
Apparaatbeheerders Afgeschaft Documentatie over afgeschafte rollen
Apparaatgebruikers Afgeschaft Documentatie over afgeschafte rollen
Adreslijstsynchronisatieaccounts Niet weergegeven omdat deze niet mag worden gebruikt Documentatie voor adreslijstsynchronisatieaccounts
Gastgebruiker Niet weergegeven omdat deze niet kan worden gebruikt NA
Ondersteuning op partnerniveau 1 Niet weergegeven omdat deze niet mag worden gebruikt Ondersteuningsdocumentatie voor Partner Tier1
Ondersteuning op partnerniveau 2 Niet weergegeven omdat deze niet mag worden gebruikt Ondersteuningsdocumentatie voor Partner Tier2
Beperkte gastgebruiker Niet weergegeven omdat deze niet kan worden gebruikt NA
Gebruiker Niet weergegeven omdat deze niet kan worden gebruikt NA
Workplace Device Join Afgeschaft Documentatie over afgeschafte rollen

Machtigingen voor wachtwoord opnieuw instellen

Kolomkoppen vertegenwoordigen de rollen die wachtwoorden opnieuw kunnen instellen. Tabelrijen bevatten de rollen waarvoor het wachtwoord opnieuw kan worden ingesteld.

Wachtwoord kan opnieuw worden ingesteld Wachtwoordbeheerder Helpdeskbeheerder Verificatiebeheerder Gebruikersbeheerder Beheerder van bevoegde verificatie Globale beheerder
Verificatiebeheerder     ✔️   ✔️ ✔️
Lezers van mappen ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Globale beheerder         ✔️ ✔️*
Beheerder van groepen       ✔️ ✔️ ✔️
Afzender van gastuitnodigingen ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Helpdeskbeheerder   ✔️   ✔️ ✔️ ✔️
Berichtencentrum-lezer   ✔️ ✔️ ✔️ ✔️ ✔️
Wachtwoordbeheerder ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Beheerder van bevoegde verificatie         ✔️ ✔️
Beheerder met bevoorrechte rol         ✔️ ✔️
Rapportenlezer   ✔️ ✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol, maar lid van een rol toewijsbare groep)
        ✔️ ✔️
Gebruikersbeheerder       ✔️ ✔️ ✔️
Lezer van rapporten over gebruiksoverzichten   ✔️ ✔️ ✔️ ✔️ ✔️

* Een globale beheerder kan zijn of haar eigen globale beheerderstoewijzing niet verwijderen. Dit is om te voorkomen dat een organisatie 0 globale beheerders heeft.

Volgende stappen