Uprawnienia roli administratora w usłudze Azure Active DirectoryAdministrator role permissions in Azure Active Directory

• 02/01/2020
• Czas czytania: 95 min
• • r
  • o

Za pomocą Azure Active Directory (Azure AD) można wyznaczyć ograniczonych administratorów do zarządzania zadaniami tożsamości w rolach z niższymi uprawnieniami.Using Azure Active Directory (Azure AD), you can designate limited administrators to manage identity tasks in less-privileged roles. Administratorzy mogą być przypisani do takich celów, jak dodawanie lub zmiana użytkowników, przypisywanie ról administracyjnych, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie nazwami domen.Administrators can be assigned for such purposes as adding or changing users, assigning administrative roles, resetting user passwords, managing user licenses, and managing domain names. Domyślne uprawnienia użytkownika można zmienić tylko w ustawieniach użytkownika w usłudze Azure AD.The default user permissions can be changed only in user settings in Azure AD.

Ograniczanie użycia administratora globalnegoLimit use of Global Administrator

Użytkownicy przypisani do roli administratora globalnego mogą odczytywać i modyfikować każde ustawienie administracyjne w organizacji usługi Azure AD.Users who are assigned to the Global Administrator role can read and modify every administrative setting in your Azure AD organization. Domyślnie, gdy użytkownik loguje się do usługi w chmurze firmy Microsoft, zostaje utworzona dzierżawa usługi Azure AD, a użytkownik jest członkiem roli Administratorzy globalni.By default, when a user signs up for a Microsoft cloud service, an Azure AD tenant is created and the user is made a member of the Global Administrators role. Po dodaniu subskrypcji do istniejącej dzierżawy nie jest ona przypisana do roli administratora globalnego.When you add a subscription to an existing tenant, you aren't assigned to the Global Administrator role. Tylko Administratorzy globalni i Administratorzy ról uprzywilejowanych mogą delegować role administratorów.Only Global Administrators and Privileged Role administrators can delegate administrator roles. Aby zmniejszyć ryzyko dla Twojej firmy, zalecamy przypisanie tej roli do najmniejszej możliwej liczby osób w organizacji.To reduce the risk to your business, we recommend that you assign this role to the fewest possible people in your organization.

Najlepszym rozwiązaniem jest przypisanie tej roli do mniej niż pięciu osób w organizacji.As a best practice, we recommend that you assign this role to fewer than five people in your organization. Jeśli masz więcej niż pięć administratorów przypisanych do roli administratora globalnego w organizacji, Oto kilka sposobów na zmniejszenie jej użycia.If you have more than five admins assigned to the Global Administrator role in your organization, here are some ways to reduce its use.

Znajdź potrzebną rolęFind the role you need

Jeśli frustrujące się, aby znaleźć rolę, której potrzebujesz, z listy wielu ról, usługa Azure AD może wyświetlać podzbiory ról na podstawie kategorii ról.If it's frustrating for you to find the role you need out of a list of many roles, Azure AD can show you subsets of the roles based on role categories. Zapoznaj się z naszym nowym filtrem typu dla ról i administratorów usługi Azure AD , aby wyświetlić tylko role w wybranym typie.Check out our new Type filter for Azure AD Roles and administrators to show you only the roles in the selected type.

Rola istnieje teraz, która nie istnieje po przypisaniu roli administratora globalnegoA role exists now that didn't exist when you assigned the Global Administrator role

Istnieje możliwość, że rola lub role zostały dodane do usługi Azure AD, która zapewnia bardziej szczegółowe uprawnienia, które nie były opcją w przypadku podniesienia poziomu niektórych użytkowników do administratora globalnego.It's possible that a role or roles were added to Azure AD that provide more granular permissions that were not an option when you elevated some users to Global Administrator. W miarę upływu czasu wprowadzamy dodatkowe role wykonujące zadania, które mogą wykonać tylko rola administratora globalnego.Over time, we are rolling out additional roles that accomplish tasks that only the Global Administrator role could do before. Są one widoczne w poniższych dostępnych rolach.You can see these reflected in the following Available roles.

Przypisywanie lub usuwanie ról administratorówAssign or remove administrator roles

Aby dowiedzieć się, jak przypisać role administracyjne do użytkownika w Azure Active Directory, zobacz Wyświetlanie i przypisywanie ról administratorów w Azure Active Directory.To learn how to assign administrative roles to a user in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Dostępne roleAvailable roles

Dostępne są następujące role administratorów:The following administrator roles are available:

Administrator aplikacjiApplication Administrator

Użytkownicy w tej roli mogą tworzyć wszystkie aspekty aplikacji przedsiębiorstwa, rejestracji aplikacji i ustawień serwera proxy aplikacji oraz zarządzać nimi.Users in this role can create and manage all aspects of enterprise applications, application registrations, and application proxy settings. Należy pamiętać, że użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.Note that users assigned to this role are not added as owners when creating new application registrations or enterprise applications.

Ta rola zapewnia również możliwość wyrażania zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji w interfejsie API Microsoft Graph.This role also grants the ability to consent to delegated permissions and application permissions, with the exception of application permissions on the Microsoft Graph API.

Deweloper aplikacjiApplication Developer

Użytkownicy w tej roli mogą tworzyć rejestracje aplikacji, gdy ustawienie "użytkownicy mogą rejestrować aplikacje" ma wartość nie.Users in this role can create application registrations when the "Users can register applications" setting is set to No. Ta rola przyznaje także uprawnienia do wyrażania zgody w imieniu użytkownika, gdy ustawienie "użytkownicy mogą wyrazić zgodę na dostęp do danych firmowych w ich imieniu" jest ustawione na wartość nie.This role also grants permission to consent on one's own behalf when the "Users can consent to apps accessing company data on their behalf" setting is set to No. Użytkownicy przypisani do tej roli są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.Users assigned to this role are added as owners when creating new application registrations or enterprise applications.

Autor ładunku atakuAttack Payload Author

Użytkownicy w tej roli mogą tworzyć ładunki ataków, ale nie są faktycznie uruchamiane lub zaplanowali.Users in this role can create attack payloads but not actually launch or schedule them. Ładunki ataków są następnie dostępne dla wszystkich administratorów w dzierżawie, którzy mogą ich używać do tworzenia symulacji.Attack payloads are then available to all administrators in the tenant who can use them to create a simulation.

Administrator symulacji atakuAttack Simulation Administrator

Użytkownicy w tej roli mogą tworzyć i zarządzać wszystkimi aspektami tworzenia symulacji ataków, uruchamiać i planować symulację oraz przeglądać wyniki symulacji.Users in this role can create and manage all aspects of attack simulation creation, launch/scheduling of a simulation, and the review of simulation results. Członkowie tej roli mają dostęp do wszystkich symulacji w dzierżawie.Members of this role have this access for all simulations in the tenant.

Administrator uwierzytelnianiaAuthentication Administrator

Użytkownicy z tą rolą mogą ustawiać lub resetować dowolną metodę uwierzytelniania (w tym hasła) dla administratorów innych niż administratorzy i niektórych ról.Users with this role can set or reset any authentication method (including passwords) for non-administrators and some roles. Administratorzy uwierzytelniania mogą wymagać od użytkowników, którzy nie są administratorami lub przypisani do niektórych ról do ponownego zarejestrowania istniejących poświadczeń niezwiązanych z hasłem (na przykład MFA lub FIDO), a także do odwoływania się do zapamiętania usługi MFA na urządzeniu, które monituje o usługę MFA przy następnym logowaniu.Authentication administrators can require users who are non-administrators or assigned to some roles to re-register against existing non-password credentials (for example, MFA or FIDO), and can also revoke remember MFA on the device, which prompts for MFA on the next sign-in. Aby uzyskać listę ról, które administrator uwierzytelniania może odczytać lub zaktualizować metody authentcation, zobacz uprawnienia do resetowania haseł.For a list of the roles that an Authentication Administrator can read or update authentcation methods, see Password reset permissions.

Rola administrator uwierzytelniania uprzywilejowanego ma uprawnienia do wymuszenia ponownej rejestracji i uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.The Privileged authentication administrator role has permission to force re-registration and multi-factor authentication for all users.

Rola administrator zasad uwierzytelniania ma uprawnienia do ustawiania zasad metod uwierzytelniania dzierżawy, które określają, które metody mogą być rejestrowane i używane przez każdego użytkownika.The Authentication policy administrator role has permissions to set the tenant's authentication method policy that determines which methods each user can register and use.

Administrator zasad uwierzytelnianiaAuthentication Policy Administrator

Użytkownicy z tą rolą mogą konfigurować zasady metod uwierzytelniania, ustawienia usługi MFA dla całej dzierżawy oraz zasady ochrony haseł.Users with this role can configure the authentication methods policy, tenant-wide MFA settings, and password protection policy. Ta rola przyznaje uprawnienia do zarządzania ustawieniami ochrony hasłem: inteligentne blokady konfiguracje i aktualizowanie listy niestandardowo zakazanych haseł.This role grants permission to manage Password Protection settings: smart lockout configurations and updating the custom banned passwords list.

Role administrator uwierzytelniania i administrator uprzywilejowanego uwierzytelniania mają uprawnienia do zarządzania zarejestrowanymi metodami uwierzytelniania dla użytkowników i mogą wymusić ponowne rejestrację i uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników.The Authentication administrator and Privileged authentication administrator roles have permission to manage registered authentication methods on users and can force re-registration and multi-factor authentication for all users.

Lokalny administrator urządzenia przyłączonego do usługi Azure ADAzure AD Joined Device Local Administrator

Ta rola jest dostępna do przypisania tylko jako dodatkowy administrator lokalny w ustawieniach urządzenia.This role is available for assignment only as an additional local administrator in Device settings. Użytkownicy z tą rolą stają się administratorami maszyn lokalnych na wszystkich urządzeniach z systemem Windows 10, które są przyłączone do Azure Active Directory.Users with this role become local machine administrators on all Windows 10 devices that are joined to Azure Active Directory. Nie mają możliwości zarządzania obiektami obiektów w Azure Active Directory.They do not have the ability to manage devices objects in Azure Active Directory.

Administrator usługi Azure DevOpsAzure DevOps Administrator

Użytkownicy z tą rolą mogą zarządzać zasadami usługi Azure DevOps, aby ograniczyć Tworzenie nowej organizacji usługi Azure DevOps do zestawu konfigurowalnych użytkowników lub grup.Users with this role can manage the Azure DevOps policy to restrict new Azure DevOps organization creation to a set of configurable users or groups. Użytkownicy w tej roli mogą zarządzać tymi zasadami za pomocą dowolnej organizacji usługi Azure DevOps, która jest obsługiwana przez organizację usługi Azure AD firmy.Users in this role can manage this policy through any Azure DevOps organization that is backed by the company's Azure AD organization. Ta rola nie udziela żadnych innych uprawnień specyficznych dla usługi Azure DevOps (na przykład administratorów kolekcji projektów) w ramach żadnej organizacji usługi Azure DevOps objętej organizacją usługi Azure AD firmy.This role grants no other Azure DevOps-specific permissions (for example, Project Collection Administrators) inside any of the Azure DevOps organizations backed by the company's Azure AD organization.

Wszystkie zasady usługi Azure DevOps dla przedsiębiorstw mogą być zarządzane przez użytkowników w tej roli.All enterprise Azure DevOps policies can be managed by users in this role.

Azure Information Protection administratorAzure Information Protection Administrator

Użytkownicy z tą rolą mają wszystkie uprawnienia w usłudze Azure Information Protection.Users with this role have all permissions in the Azure Information Protection service. Ta rola umożliwia konfigurowanie etykiet dla zasad Azure Information Protection, zarządzanie szablonami ochrony i aktywowanie ochrony.This role allows configuring labels for the Azure Information Protection policy, managing protection templates, and activating protection. Ta rola nie udziela żadnych uprawnień w usłudze Identity Protection Center, Privileged Identity Management, monitor Microsoft 365 Service Health lub Office 365 Security & Centrum zgodności.This role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Administrator zestawu kluczy B2C IEFB2C IEF Keyset Administrator

Użytkownik może tworzyć klucze zasad i wpisy tajne oraz zarządzać nimi na potrzeby szyfrowania tokenów, podpisów tokenów oraz szyfrowania i odszyfrowywania roszczeń.User can create and manage policy keys and secrets for token encryption, token signatures, and claim encryption/decryption. Przez dodanie nowych kluczy do istniejących kontenerów kluczy, ten ograniczony administrator może przerzucać wpisy tajne w razie potrzeby bez wpływu na istniejące aplikacje.By adding new keys to existing key containers, this limited administrator can rollover secrets as needed without impacting existing applications. Ten użytkownik może zobaczyć pełną zawartość tych kluczy tajnych i ich daty wygaśnięcia nawet po ich utworzeniu.This user can see the full content of these secrets and their expiration dates even after their creation.

Administrator zasad B2C IEFB2C IEF Policy Administrator

Użytkownicy w tej roli mogą tworzyć, odczytywać, aktualizować i usuwać wszystkie niestandardowe zasady w Azure AD B2C i dlatego mieć pełną kontrolę nad strukturą środowiska tożsamości w odpowiedniej organizacji Azure AD B2C.Users in this role have the ability to create, read, update, and delete all custom policies in Azure AD B2C and therefore have full control over the Identity Experience Framework in the relevant Azure AD B2C organization. Edytując zasady, ten użytkownik może ustanowić bezpośrednią Federacji z zewnętrznymi dostawcami tożsamości, zmienić schemat katalogu, zmienić całą zawartość dostępną dla użytkownika (HTML, CSS, JavaScript), zmienić wymagania w celu ukończenia uwierzytelniania, utworzyć nowych użytkowników, wysłać dane użytkowników do systemów zewnętrznych, w tym pełne migracje i edytować wszystkie informacje o użytkowniku, w tym hasła i numery telefonów.By editing policies, this user can establish direct federation with external identity providers, change the directory schema, change all user-facing content (HTML, CSS, JavaScript), change the requirements to complete an authentication, create new users, send user data to external systems including full migrations, and edit all user information including sensitive fields like passwords and phone numbers. Z drugiej strony ta rola nie może zmienić kluczy szyfrowania ani edytować wpisów tajnych używanych dla Federacji w organizacji.Conversely, this role cannot change the encryption keys or edit the secrets used for federation in the organization.

Administrator rozliczeńBilling Administrator

Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.Makes purchases, manages subscriptions, manages support tickets, and monitors service health.

Administrator aplikacji w chmurzeCloud Application Administrator

Użytkownicy w tej roli mają takie same uprawnienia jak rola administratora aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji.Users in this role have the same permissions as the Application Administrator role, excluding the ability to manage application proxy. Ta rola umożliwia tworzenie wszystkich aspektów aplikacji dla przedsiębiorstw i rejestracji aplikacji oraz zarządzanie nimi.This role grants the ability to create and manage all aspects of enterprise applications and application registrations. Ta rola umożliwia również zgodę na uprawnienia delegowane i uprawnienia aplikacji z wyłączeniem Microsoft Graph i Azure AD Graph.This role also grants the ability to consent to delegated permissions, and application permissions excluding Microsoft Graph and Azure AD Graph. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.Users assigned to this role are not added as owners when creating new application registrations or enterprise applications.

Administrator urządzenia w chmurzeCloud Device Administrator

Użytkownicy w tej roli mogą włączać, wyłączać i usuwać urządzenia w usłudze Azure AD oraz odczytywać klucze funkcji BitLocker systemu Windows 10 (jeśli istnieją) w Azure Portal.Users in this role can enable, disable, and delete devices in Azure AD and read Windows 10 BitLocker keys (if present) in the Azure portal. Rola nie udziela uprawnień do zarządzania wszystkimi innymi właściwościami na urządzeniu.The role does not grant permissions to manage any other properties on the device.

Administrator zgodnościCompliance Administrator

Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zgodnością w centrum zgodności Microsoft 365, Microsoft 365 centrum administracyjne, Azure i Office 365 Security & Centrum zgodności.Users with this role have permissions to manage compliance-related features in the Microsoft 365 compliance center, Microsoft 365 admin center, Azure, and Office 365 Security & Compliance Center. Osoby przydzielone mogą również zarządzać wszystkimi funkcjami w centrum administracyjnym programu Exchange i zespołami & centrami administracyjnymi Skype dla firm i tworzyć bilety pomocy technicznej dla platformy Azure i Microsoft 365.Assignees can also manage all features within the Exchange admin center and Teams & Skype for Business admin centers and create support tickets for Azure and Microsoft 365. Więcej informacji można znaleźć w tematach Microsoft 365 ról administratorów.More information is available at About Microsoft 365 admin roles.

Administrator danych zgodnościCompliance Data Administrator

Użytkownicy z tą rolą mają uprawnienia do śledzenia danych w centrum Microsoft 365 zgodności, Microsoft 365 centrum administracyjnego i na platformie Azure.Users with this role have permissions to track data in the Microsoft 365 compliance center, Microsoft 365 admin center, and Azure. Użytkownicy mogą również śledzić dane zgodności w centrum administracyjnym programu Exchange, w Menedżerze zgodności i zespołach & centrum administracyjnym usługi Skype dla firm i tworzyć bilety pomocy technicznej dla platformy Azure i Microsoft 365.Users can also track compliance data within the Exchange admin center, Compliance Manager, and Teams & Skype for Business admin center and create support tickets for Azure and Microsoft 365. Ta dokumentacja zawiera szczegółowe informacje dotyczące różnic między administratorami zgodności i administratorami danych zgodności.This documentation has details on differences between Compliance Administrator and Compliance Data Administrator.

Administrator dostępu warunkowegoConditional Access Administrator

Użytkownicy z tą rolą mają możliwość zarządzania ustawieniami dostępu warunkowego Azure Active Directory.Users with this role have the ability to manage Azure Active Directory Conditional Access settings.

Osoba zatwierdzająca Skrytka klienta dostępuCustomer Lockbox access approver

Zarządza żądaniami skrytka klienta w organizacji.Manages Customer Lockbox requests in your organization. Odbierają one powiadomienia e-mail dla żądań Skrytka klienta i mogą zatwierdzać i odrzucać żądania z centrum administracyjnego Microsoft 365.They receive email notifications for Customer Lockbox requests and can approve and deny requests from the Microsoft 365 admin center. Mogą również włączać lub wyłączać funkcję Skrytka klienta.They can also turn the Customer Lockbox feature on or off. Tylko Administratorzy globalni mogą resetować hasła osób przypisanych do tej roli.Only Global Administrators can reset the passwords of people assigned to this role.

Administrator usługi Desktop AnalyticsDesktop Analytics Administrator

Użytkownicy w tej roli mogą zarządzać narzędziami do analizy pulpitu i dostosowywania pakietu Office &ymi usługami zasad.Users in this role can manage the Desktop Analytics and Office Customization & Policy services. W przypadku usługi Desktop Analytics obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania, wyświetlania stanu wdrożenia i kondycji.For Desktop Analytics, this includes the ability to view asset inventory, create deployment plans, view deployment and health status. Ta rola umożliwia użytkownikom zarządzanie zasadami pakietu Office w przypadku dostosowywania pakietu Office & Policy Service.For Office Customization & Policy service, this role enables users to manage Office policies.

Czytelnicy katalogówDirectory Readers

Użytkownicy w tej roli mogą odczytywać podstawowe informacje o katalogu.Users in this role can read basic directory information. Ta rola powinna być używana na potrzeby:This role should be used for:

• Przyznanie określonego zestawu Gościom dostępu do odczytu zamiast udzielania go wszystkim użytkownikom-Gościom.Granting a specific set of guest users read access instead of granting it to all guest users.
• Przyznanie konkretnego zestawu użytkownikom niebędącym administratorami dostępu do Azure Portal w przypadku wybrania opcji "Ogranicz dostęp do portalu usługi Azure AD tylko do administratorów" ma wartość "tak".Granting a specific set of non-admin users access to Azure portal when "Restrict access to Azure AD portal to admins only" is set to "Yes".
• Przyznanie podmiotom usługi dostępu do katalogu, w którym znajduje się katalog. Read. All nie jest opcją.Granting service principals access to directory where Directory.Read.All is not an option.

Konta synchronizacji katalogówDirectory Synchronization Accounts

Nie używaj.Do not use. Ta rola jest automatycznie przypisana do usługi Azure AD Connect i nie jest przeznaczona do użycia ani nie jest obsługiwana w żadnym innym przypadku.This role is automatically assigned to the Azure AD Connect service, and is not intended or supported for any other use.

Autorzy katalogówDirectory Writers

Użytkownicy w tej roli mogą odczytywać i aktualizować podstawowe informacje o użytkownikach, grupach i nazwach głównych usług.Users in this role can read and update basic information of users, groups, and service principals. Przypisz tę rolę tylko do aplikacji, które nie obsługują struktury zgody.Assign this role only to applications that don’t support the Consent Framework. Nie powinien być przypisany do żadnych użytkowników.It should not be assigned to any users.

Administrator nazw domenDomain Name Administrator

Użytkownicy z tą rolą mogą zarządzać nazwami domen (odczyt, Dodawanie, weryfikowanie, aktualizowanie i usuwanie).Users with this role can manage (read, add, verify, update, and delete) domain names. Mogą również odczytywać informacje katalogu dotyczące użytkowników, grup i aplikacji, ponieważ te obiekty mają zależności domeny.They can also read directory information about users, groups, and applications, as these objects possess domain dependencies. W przypadku środowisk lokalnych użytkownicy z tą rolą mogą konfigurować nazwy domen dla Federacji, dzięki czemu skojarzeni użytkownicy są zawsze uwierzytelniani lokalnie.For on-premises environments, users with this role can configure domain names for federation so that associated users are always authenticated on-premises. Ci użytkownicy mogą następnie zalogować się do usług opartych na usłudze Azure AD przy użyciu haseł lokalnych przy użyciu logowania jednokrotnego.These users can then sign into Azure AD-based services with their on-premises passwords via single sign-on. Ustawienia Federacji należy synchronizować za pośrednictwem Azure AD Connect, aby użytkownicy mieli również uprawnienia do zarządzania Azure AD Connect.Federation settings need to be synced via Azure AD Connect, so users also have permissions to manage Azure AD Connect.

Administrator systemu Dynamics 365Dynamics 365 administrator

Użytkownicy z tą rolą mają uprawnienia globalne w systemie Microsoft Dynamics 365 online, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.Users with this role have global permissions within Microsoft Dynamics 365 Online, when the service is present, as well as the ability to manage support tickets and monitor service health. Więcej informacji na temat używania roli administratora usługi do zarządzania organizacją usługi Azure AD.More information at Use the service admin role to manage your Azure AD organization.

Administrator programu ExchangeExchange Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna.Users with this role have global permissions within Microsoft Exchange Online, when the service is present. Program ma także możliwość tworzenia wszystkich grup Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej oraz monitorowania kondycji usługi.Also has the ability to create and manage all Microsoft 365 groups, manage support tickets, and monitor service health. Więcej informacji na temat Microsoft 365 ról administratorów.More information at About Microsoft 365 admin roles.

Administrator przepływu użytkownika z IDENTYFIKATORem zewnętrznymExternal ID User Flow Administrator

Użytkownicy z tą rolą mogą tworzyć i zarządzać przepływami użytkowników (nazywanymi również zasadami "wbudowanymi") w Azure Portal.Users with this role can create and manage user flows (also called "built-in" policies) in the Azure portal. Ci użytkownicy mogą dostosowywać zawartość HTML/CSS/JavaScript, zmieniać wymagania usługi MFA, wybierać oświadczenia w tokenie, zarządzać łącznikami interfejsu API i konfigurować ustawienia sesji dla wszystkich przepływów użytkowników w organizacji usługi Azure AD.These users can customize HTML/CSS/JavaScript content, change MFA requirements, select claims in the token, manage API connectors, and configure session settings for all user flows in the Azure AD organization. Z drugiej strony ta rola nie obejmuje możliwości przeglądania danych użytkownika ani wprowadzania zmian w atrybutach, które są zawarte w schemacie organizacji.On the other hand, this role does not include the ability to review user data or make changes to the attributes that are included in the organization schema. Zmiany zasad struktury środowiska tożsamości (znanych także jako zasady niestandardowe) również są poza zakresem tej roli.Changes to Identity Experience Framework policies (also known as custom policies) are also outside the scope of this role.

Administrator atrybutów przepływu użytkownika zewnętrznego IDExternal ID User Flow Attribute Administrator

Użytkownicy z tą rolą dodają lub usuwają atrybuty niestandardowe dostępne dla wszystkich przepływów użytkowników w organizacji usługi Azure AD.Users with this role add or delete custom attributes available to all user flows in the Azure AD organization. W związku z tym użytkownicy z tą rolą mogą zmieniać lub dodawać nowe elementy do schematu użytkownika końcowego i wpływać na zachowanie wszystkich przepływów użytkownika, a także pośrednio wprowadzić zmiany w jakie dane mogą być zadawane przez użytkowników końcowych i ostatecznie wysyłane jako oświadczenia do aplikacji.As such, users with this role can change or add new elements to the end-user schema and impact the behavior of all user flows and indirectly result in changes to what data may be asked of end users and ultimately sent as claims to applications. Ta rola nie może edytować przepływów użytkowników.This role cannot edit user flows.

Administrator zewnętrznego dostawcy tożsamościExternal Identity Provider Administrator

Ten administrator zarządza Federacją między organizacjami usługi Azure AD a zewnętrznymi dostawcami tożsamości.This administrator manages federation between Azure AD organizations and external identity providers. Za pomocą tej roli użytkownicy mogą dodawać nowych dostawców tożsamości i konfigurować wszystkie dostępne ustawienia (np. ścieżkę uwierzytelniania, identyfikator usługi, przypisane kontenery kluczy).With this role, users can add new identity providers and configure all available settings (e.g. authentication path, service ID, assigned key containers). Ten użytkownik może włączyć, aby organizacja usługi Azure AD mogła ufać uwierzytelnianiu od zewnętrznych dostawców tożsamości.This user can enable the Azure AD organization to trust authentications from external identity providers. Wynikowy wpływ na środowisko użytkownika końcowego zależy od typu organizacji:The resulting impact on end-user experiences depends on the type of organization:

• Organizacje usługi Azure AD dla pracowników i partnerów: dodanie Federacji (np. z użyciem usługi Gmail) natychmiast wpłynie na wszystkie zaproszenia gościa, które nie zostały jeszcze zrealizowane.Azure AD organizations for employees and partners: The addition of a federation (e.g. with Gmail) will immediately impact all guest invitations not yet redeemed. Zobacz Dodawanie usługi Google jako dostawcy tożsamości dla użytkowników-Gości B2B.See Adding Google as an identity provider for B2B guest users.
• Azure Active Directory B2C organizacje: dodanie Federacji (na przykład w usłudze Facebook lub innej organizacji usługi Azure AD) nie wpływa natychmiast na przepływy użytkowników końcowych, dopóki dostawca tożsamości nie zostanie dodany jako opcja w przepływie użytkownika (nazywane również zasadami wbudowanymi).Azure Active Directory B2C organizations: The addition of a federation (for example, with Facebook, or with another Azure AD organization) does not immediately impact end-user flows until the identity provider is added as an option in a user flow (also called a built-in policy). Zapoznaj się z przykładem dotyczącym konfigurowania konto Microsoft jako dostawcy tożsamości .See Configuring a Microsoft account as an identity provider for an example. Aby zmienić przepływy użytkowników, wymagana jest ograniczona rola "Administrator przepływu użytkownika B2C".To change user flows, the limited role of "B2C User Flow Administrator" is required.

Administrator globalnyGlobal Administrator

Użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure Active Directory, a także usług korzystających z tożsamości Azure Active Directory, takich jak Microsoft 365 Security Center, Microsoft 365 Centrum zgodności, Exchange Online, SharePoint Online i Skype dla firm Online.Users with this role have access to all administrative features in Azure Active Directory, as well as services that use Azure Active Directory identities like Microsoft 365 security center, Microsoft 365 compliance center, Exchange Online, SharePoint Online, and Skype for Business Online. Ponadto administratorzy globalni mogą podnieść poziom dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.Furthermore, Global Administrators can elevate their access to manage all Azure subscriptions and management groups. Dzięki temu administratorzy globalni mogą uzyskać pełny dostęp do wszystkich zasobów platformy Azure przy użyciu odpowiedniej dzierżawy usługi Azure AD.This allows Global Administrators to get full access to all Azure resources using the respective Azure AD Tenant. Osoba, która zarejestruje się w usłudze Azure AD, zostaje administratorem globalnym.The person who signs up for the Azure AD organization becomes a Global Administrator. W Twojej firmie może istnieć więcej niż jeden administrator globalny.There can be more than one Global Administrator at your company. Administratorzy globalni mogą zresetować hasło dla dowolnego użytkownika i wszystkich innych administratorów.Global Administrators can reset the password for any user and all other administrators.

Czytelnik globalnyGlobal Reader

Użytkownicy w tej roli mogą odczytywać ustawienia i informacje administracyjne w ramach usług Microsoft 365, ale nie mogą podejmować działań związanych z zarządzaniem.Users in this role can read settings and administrative information across Microsoft 365 services but can't take management actions. Global Reader to odpowiedni dla administratora globalnego tylko do odczytu.Global reader is the read-only counterpart to Global Administrator. Przypisywanie globalnego czytnika zamiast administratora globalnego do planowania, inspekcji lub badań.Assign Global reader instead of Global Administrator for planning, audits, or investigations. Używaj globalnego czytnika w połączeniu z innymi ograniczonymi rolami administratora, takimi jak administrator programu Exchange, aby ułatwić wykonywanie zadań bez przypisywania roli administratora globalnego.Use Global reader in combination with other limited admin roles like Exchange Administrator to make it easier to get work done without the assigning the Global Administrator role. Global Reader współpracuje z centrum administracyjnym Microsoft 365, centrum administracyjnym programu Exchange, centrum administracyjnym programu SharePoint, centrami administracyjnymi zespołów, Centrum zabezpieczeń, centrum zgodności, centrum administracyjnym usługi Azure AD i centrum administracyjnym zarządzania urządzeniami.Global reader works with Microsoft 365 admin center, Exchange admin center, SharePoint admin center, Teams admin center, Security center, Compliance center, Azure AD admin center, and Device Management admin center.

Administrator grupGroups Administrator

Użytkownicy w tej roli mogą tworzyć grupy i ich ustawienia, takie jak zasady nazewnictwa i wygasania, oraz zarządzać nimi.Users in this role can create/manage groups and its settings like naming and expiration policies. Ważne jest, aby zrozumieć, że przypisanie użytkownika do tej roli daje im możliwość zarządzania wszystkimi grupami w organizacji między różnymi obciążeniami, takimi jak zespoły, SharePoint, Yammer, oprócz programu Outlook.It is important to understand that assigning a user to this role gives them the ability to manage all groups in the organization across various workloads like Teams, SharePoint, Yammer in addition to Outlook. Ponadto użytkownik będzie mógł zarządzać różnymi ustawieniami grup w różnych portalach administracyjnych, takich jak centrum administracyjne firmy Microsoft, Azure Portal, a także obciążenie specyficzne dla zespołów i centrów administracyjnych programu SharePoint.Also the user will be able to manage the various groups settings across various admin portals like Microsoft Admin Center, Azure portal, as well as workload specific ones like Teams and SharePoint Admin Centers.

Zapraszający gościaGuest Inviter

Użytkownicy w tej roli mogą zarządzać Azure Active Directory zaproszeniami użytkowników typu B2B, gdy Członkowie mogą zapraszać ustawienie użytkownika na wartość nie.Users in this role can manage Azure Active Directory B2B guest user invitations when the Members can invite user setting is set to No. Więcej informacji na temat współpracy B2B na temat współpracy B2B w usłudze Azure AD.More information about B2B collaboration at About Azure AD B2B collaboration. Nie zawiera żadnych innych uprawnień.It does not include any other permissions.

Administrator pomocy technicznejHelpdesk Administrator

Użytkownicy z tą rolą mogą zmieniać hasła, unieważniać tokeny odświeżania, zarządzać żądaniami obsługi oraz monitorować kondycję usługi.Users with this role can change passwords, invalidate refresh tokens, manage service requests, and monitor service health. Unieważnienie tokenu odświeżania Wymusza ponowne zalogowanie użytkownika.Invalidating a refresh token forces the user to sign in again. Czy administrator pomocy technicznej może zresetować hasło użytkownika i unieważniać tokeny odświeżania, zależy od roli przypisanej do użytkownika.Whether a Helpdesk Administrator can reset a user's password and invalidate refresh tokens depends on the role the user is assigned. Aby uzyskać listę ról, które administrator pomocy technicznej może zresetować hasła dla i unieważniać tokeny odświeżania, zobacz uprawnienia do resetowania haseł.For a list of the roles that a Helpdesk Administrator can reset passwords for and invalidate refresh tokens, see Password reset permissions.

Delegowanie uprawnień administracyjnych przez podzbiory użytkowników i stosowanie zasad do podzbioru użytkowników jest możliwe z jednostkami administracyjnymi.Delegating administrative permissions over subsets of users and applying policies to a subset of users is possible with Administrative Units.

Ta rola była wcześniej nazywana "administratorem haseł" w Azure Portal.This role was previously called "Password Administrator" in the Azure portal. Nazwa "Administrator pomocy technicznej" w usłudze Azure AD jest teraz zgodna z nazwą w programie Azure AD PowerShell i interfejsem API Microsoft Graph.The "Helpdesk Administrator" name in Azure AD now matches its name in Azure AD PowerShell and the Microsoft Graph API.

Administrator tożsamości hybrydowejHybrid Identity Administrator

Użytkownicy w tej roli mogą tworzyć i wdrażać ustawienia konfiguracji aprowizacji z usługi AD w usłudze Azure AD przy użyciu aprowizacji w chmurze, a także zarządzać ustawieniami federacyjnymi.Users in this role can create, manage and deploy provisioning configuration setup from AD to Azure AD using Cloud Provisioning as well as manage federation settings. Użytkownicy mogą również rozwiązywać problemy i monitorować dzienniki przy użyciu tej roli.Users can also troubleshoot and monitor logs using this role.

Administrator usługi InsightsInsights Administrator

Użytkownicy w tej roli mogą uzyskać dostęp do pełnego zestawu funkcji administracyjnych w aplikacji M365 Insights.Users in this role can access the full set of administrative capabilities in the M365 Insights application. Ta rola ma możliwość odczytywania informacji o katalogu, monitorowania kondycji usługi, biletów pomocy technicznej dotyczącej plików i uzyskiwania dostępu do aspektów ustawień administratora szczegółowego.This role has the ability to read directory information, monitor service health, file support tickets, and access the Insights admin settings aspects.

Lider biznesowy usługi InsightsInsights Business Leader

Użytkownicy w tej roli mogą uzyskiwać dostęp do zestawu pulpitów nawigacyjnych i szczegółowych informacji za pośrednictwem aplikacji M365 Insights.Users in this role can access a set of dashboards and insights via the M365 Insights application. Obejmuje to pełny dostęp do wszystkich pulpitów nawigacyjnych oraz przedstawia szczegółowe informacje i funkcje eksploracji danych.This includes full access to all dashboards and presented insights and data exploration functionality. Użytkownicy w tej roli nie mają dostępu do ustawień konfiguracji produktu, które są odpowiedzialne za rolę administratora usługi Insights.Users in this role do not have access to product configuration settings, which is the responsibility of the Insights Admin role.

Administrator usługi IntuneIntune Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Intune online, gdy usługa jest obecna.Users with this role have global permissions within Microsoft Intune Online, when the service is present. Ponadto ta rola obejmuje możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi.Additionally, this role contains the ability to manage users and devices in order to associate policy, as well as create and manage groups. Więcej informacji na temat kontroli administracji opartej na rolach (RBAC) z Microsoft Intune.More information at Role-based administration control (RBAC) with Microsoft Intune.

Ta rola może tworzyć wszystkie grupy zabezpieczeń i zarządzać nimi.This role can create and manage all security groups. Jednak administrator usługi Intune nie ma uprawnień administratora w grupach pakietu Office.However, Intune Admin does not have admin rights over Office groups. Oznacza to, że administrator nie może zaktualizować właścicieli ani członkostw wszystkich grup pakietu Office w organizacji.That means the admin cannot update owners or memberships of all Office groups in the organization. Może jednak zarządzać utworzoną przez siebie grupą pakietu Office, która jest częścią swoich uprawnień użytkownika końcowego.However, he/she can manage the Office group that he creates which comes as a part of his/her end-user privileges. W związku z tym wszystkie grupy pakietu Office (nie grupy zabezpieczeń), które tworzy, powinny być wliczane do limitu przydziału 250.So, any Office group (not security group) that he/she creates should be counted against his/her quota of 250.

Usługi kaizala administratorKaizala Administrator

Użytkownicy z tą rolą mają uprawnienia globalne do zarządzania ustawieniami w programie Microsoft usługi kaizala, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.Users with this role have global permissions to manage settings within Microsoft Kaizala, when the service is present, as well as the ability to manage support tickets and monitor service health. Ponadto użytkownik może uzyskiwać dostęp do raportów związanych z wdrażaniem & użyciu usługi kaizala przez członków organizacji i raportów biznesowych wygenerowanych za pomocą akcji usługi kaizala.Additionally, the user can access reports related to adoption & usage of Kaizala by Organization members and business reports generated using the Kaizala actions.

Administrator licencjiLicense Administrator

Użytkownicy w tej roli mogą dodawać, usuwać i aktualizować przypisania licencji dla użytkowników, grup (przy użyciu licencjonowania opartego na grupach) i zarządzać lokalizacją użycia na użytkownikach.Users in this role can add, remove, and update license assignments on users, groups (using group-based licensing), and manage the usage location on users. Rola nie pozwala na kupowanie subskrypcji ani zarządzanie nimi, tworzenie grup ani zarządzanie nimi, a także tworzenie użytkowników poza lokalizacją użycia ani zarządzanie nimi.The role does not grant the ability to purchase or manage subscriptions, create or manage groups, or create or manage users beyond the usage location. Ta rola nie ma dostępu do wyświetlania biletów pomocy technicznej, tworzenia ich ani zarządzania nimi.This role has no access to view, create, or manage support tickets.

Czytnik prywatności centrum wiadomościMessage Center Privacy Reader

Użytkownicy w tej roli mogą monitorować wszystkie powiadomienia w centrum wiadomości, w tym komunikaty o ochronie prywatności danych.Users in this role can monitor all notifications in the Message Center, including data privacy messages. Czytelnicy ochrony prywatności centrum wiadomości otrzymują powiadomienia e-mail, w tym dotyczące prywatności danych i mogą anulować subskrypcję przy użyciu preferencji centrum wiadomości.Message Center Privacy Readers get email notifications including those related to data privacy and they can unsubscribe using Message Center Preferences. Tylko administrator globalny i czytnik zasad ochrony prywatności centrum wiadomości mogą odczytywać wiadomości dotyczące prywatności danych.Only the Global Administrator and the Message Center Privacy Reader can read data privacy messages. Ponadto ta rola zawiera możliwość wyświetlania grup, domen i subskrypcji.Additionally, this role contains the ability to view groups, domains, and subscriptions. Ta rola nie ma uprawnień do wyświetlania, tworzenia ani zarządzania żądaniami obsługi.This role has no permission to view, create, or manage service requests.

Czytelnik centrum wiadomościMessage Center Reader

Użytkownicy w tej roli mogą monitorować powiadomienia i aktualizacje kondycji doradców w centrum wiadomości dla swojej organizacji na skonfigurowanych usługach, takich jak Exchange, Intune i Microsoft Teams.Users in this role can monitor notifications and advisory health updates in Message center for their organization on configured services such as Exchange, Intune, and Microsoft Teams. Czytelnicy centrum wiadomości otrzymują cotygodniowe podsumowanie wiadomości e-mail z ogłoszeń, aktualizacji i mogą udostępniać wpisy centrum wiadomości w Microsoft 365.Message Center Readers receive weekly email digests of posts, updates, and can share message center posts in Microsoft 365. W usłudze Azure AD Użytkownicy przypisani do tej roli będą mieli dostęp tylko do odczytu w ramach usług Azure AD, takich jak użytkownicy i grupy.In Azure AD, users assigned to this role will only have read-only access on Azure AD services such as users and groups. Ta rola nie ma dostępu do wyświetlania biletów pomocy technicznej, tworzenia ich ani zarządzania nimi.This role has no access to view, create, or manage support tickets.

Nowoczesny użytkownik handlowyModern Commerce User

Nie używaj.Do not use. Ta rola jest automatycznie przypisana z handlu i nie jest przeznaczona do użycia ani nie jest obsługiwana w żadnym innym przypadku.This role is automatically assigned from Commerce, and is not intended or supported for any other use. Zobacz szczegóły poniżej.See details below.

Rola użytkownika nowoczesnego handlu zapewnia określonym użytkownikom uprawnienia dostępu do centrum administracyjnego Microsoft 365, a następnie wyświetla lewe wpisy nawigacyjne dla domu, rozliczeń i pomocy technicznej.The Modern Commerce User role gives certain users permission to access Microsoft 365 admin center and see the left navigation entries for Home, Billing, and Support. Zawartość dostępna w tych obszarach jest kontrolowana przez role specyficzne dla handlu , które są przypisane do użytkowników w celu zarządzania produktami zakupionymi dla siebie lub w organizacji.The content available in these areas is controlled by commerce-specific roles assigned to users to manage products that they bought for themselves or your organization. Mogą to być takie zadania, jak płacisz rachunki lub dostęp do kont rozliczeń i profilów rozliczeń.This might include tasks like paying bills, or for access to billing accounts and billing profiles.

Użytkownicy z rolą użytkownika Modern Commerce zazwyczaj mają uprawnienia administracyjne w innych systemach zakupów firmy Microsoft, ale nie mają ról administratora globalnego lub administratora rozliczeń służących do uzyskiwania dostępu do centrum administracyjnego.Users with the Modern Commerce User role typically have administrative permissions in other Microsoft purchasing systems, but do not have Global Administrator or Billing administrator roles used to access the admin center.

Kiedy jest przypisana nowoczesny rola użytkownika Commerce?When is the Modern Commerce User role assigned?

• Samoobsługowe kupowanie w Microsoft 365 centrum administracyjnego — zakup samoobsługowy umożliwia użytkownikom wypróbowanie nowych produktów przez ich zakup lub utworzenie.Self-service purchase in Microsoft 365 admin center – Self-service purchase gives users a chance to try out new products by buying or signing up for them on their own. Te produkty są zarządzane w centrum administracyjnym.These products are managed in the admin center. Użytkownicy, którzy dokonują zakupu samoobsługowego, mają przypisaną rolę w systemie Commerce i nowoczesnej roli użytkownika commerce, aby mogli zarządzać zakupami w centrum administracyjnym.Users who make a self-service purchase are assigned a role in the commerce system, and the Modern Commerce User role so they can manage their purchases in admin center. Administratorzy mogą blokować zakupy samoobsługowe (w przypadku Power BI, aplikacji zaawansowanych, automatyzacji) za poorednictwem programu PowerShell.Admins can block self-service purchases (for Power BI, Power Apps, Power automate) through PowerShell. Aby uzyskać więcej informacji, zobacz Zakup samoobsługowy — często zadawane pytania.For more information, see Self-service purchase FAQ.
• Zakupy od firmy Microsoft komercyjnej Marketplace — podobnie jak w przypadku zakupu samoobsługowego, gdy użytkownik kupuje produkt lub usługę od Microsoft AppSource lub Azure Marketplace, jest przypisywany współczesna rola użytkownika commerce w przypadku, gdy nie ma roli Administrator globalny lub rozliczenia.Purchases from Microsoft commercial marketplace – Similar to self-service purchase, when a user buys a product or service from Microsoft AppSource or Azure Marketplace, the Modern Commerce User role is assigned if they don’t have the Global Administrator or Billing admin role. W niektórych przypadkach użytkownicy mogą mieć zablokowaną możliwość dokonywania tych zakupów.In some cases, users might be blocked from making these purchases. Aby uzyskać więcej informacji, zobacz Microsoft Commercial Marketplace.For more information, see Microsoft commercial marketplace.
• Propozycje firmy Microsoft — propozycja jest formalną ofertą oferowaną przez firmę Microsoft w organizacji do kupowania produktów i usług firmy Microsoft.Proposals from Microsoft – A proposal is a formal offer from Microsoft for your organization to buy Microsoft products and services. Gdy osoba akceptująca ofertę nie ma roli administratora globalnego lub administratora rozliczeń w usłudze Azure AD, są oni przypisani do roli specyficzne dla handlu, aby dokończyć propozycję i współczesną rolę użytkownika handlowego w celu uzyskania dostępu do centrum administracyjnego.When the person who is accepting the proposal doesn’t have a Global Administrator or Billing admin role in Azure AD, they are assigned both a commerce-specific role to complete the proposal and the Modern Commerce User role to access admin center. Gdy uzyskują dostęp do centrum administracyjnego, mogą korzystać tylko z funkcji, które są autoryzowane przez ich rolę specyficzną dla danego handlu.When they access the admin center they can only use features that are authorized by their commerce-specific role.
• Role specyficzne dla handlu — niektórzy użytkownicy mają przypisane role dotyczące handlu.Commerce-specific roles – Some users are assigned commerce-specific roles. Jeśli użytkownik nie jest administratorem globalnym lub rozliczeniami, uzyska nowoczesnej roli użytkownika commerce, aby mógł uzyskać dostęp do centrum administracyjnego.If a user isn't a Global or Billing admin, they get the Modern Commerce User role so they can access the admin center.

Jeśli nie przypisano do użytkownika nowoczesnej roli użytkownika w języku commerce, utraci on dostęp do centrum administracyjnego Microsoft 365.If the Modern Commerce User role is unassigned from a user, they lose access to Microsoft 365 admin center. W przypadku zarządzania produktami przez siebie lub w organizacji nie będą oni mogli nimi zarządzać.If they were managing any products, either for themselves or for your organization, they won’t be able to manage them. Może to dotyczyć przypisywania licencji, zmiany metod płatności, płacenia rachunków lub innych zadań związanych z zarządzaniem subskrypcjami.This might include assigning licenses, changing payment methods, paying bills, or other tasks for managing subscriptions.

Administrator sieciNetwork Administrator

Użytkownicy w tej roli mogą przeglądać zalecenia dotyczące architektury obwodowej sieci firmy Microsoft, które są oparte na telemetrii sieci z lokalizacji użytkownika.Users in this role can review network perimeter architecture recommendations from Microsoft that are based on network telemetry from their user locations. Wydajność sieci dla Microsoft 365 opiera się na starannej architekturze obwodowej sieci klienta, która jest zwykle specyficzna dla lokalizacji użytkownika.Network performance for Microsoft 365 relies on careful enterprise customer network perimeter architecture which is generally user location specific. Ta rola pozwala edytować odnalezione lokalizacje użytkowników i konfigurację parametrów sieci dla tych lokalizacji, aby ułatwić lepsze pomiary telemetrii i zalecenia dotyczące projektowaniaThis role allows for editing of discovered user locations and configuration of network parameters for those locations to facilitate improved telemetry measurements and design recommendations

Administrator aplikacji pakietu OfficeOffice Apps Administrator

Użytkownicy w tej roli mogą zarządzać ustawieniami chmury Microsoft 365 aplikacji.Users in this role can manage Microsoft 365 apps' cloud settings. Obejmuje to zarządzanie zasadami chmury, samoobsługowym zarządzaniem pobieraniem i możliwością wyświetlania raportu związanego z aplikacjami pakietu Office.This includes managing cloud policies, self-service download management and the ability to view Office apps related report. Ta rola dodatkowo umożliwia zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi w głównym centrum administracyjnym.This role additionally grants the ability to manage support tickets, and monitor service health within the main admin center. Użytkownicy przypisani do tej roli mogą również zarządzać komunikacją o nowych funkcjach w aplikacjach pakietu Office.Users assigned to this role can also manage communication of new features in Office apps.

Obsługa pomoc partneraPartner Tier1 Support

Nie używaj.Do not use. Ta rola jest przestarzała i zostanie usunięta z usługi Azure AD w przyszłości.This role has been deprecated and will be removed from Azure AD in the future. Ta rola jest przeznaczona do użytku przez małą liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.This role is intended for use by a small number of Microsoft resale partners, and is not intended for general use.

Obsługa SVR partneraPartner Tier2 Support

Nie używaj.Do not use. Ta rola jest przestarzała i zostanie usunięta z usługi Azure AD w przyszłości.This role has been deprecated and will be removed from Azure AD in the future. Ta rola jest przeznaczona do użytku przez małą liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.This role is intended for use by a small number of Microsoft resale partners, and is not intended for general use.

Administrator hasełPassword Administrator

Użytkownicy z tą rolą mają ograniczoną możliwość zarządzania hasłami.Users with this role have limited ability to manage passwords. Ta rola nie przyznaje możliwości zarządzania żądaniami obsługi ani monitorowania kondycji usługi.This role does not grant the ability to manage service requests or monitor service health. Określa, czy administrator hasła może zresetować hasło użytkownika zależy od roli przypisanej do użytkownika.Whether a Password Administrator can reset a user's password depends on the role the user is assigned. Aby uzyskać listę ról, dla których administrator haseł może zresetować hasła dla programu, zobacz uprawnienia do resetowania haseł.For a list of the roles that a Password Administrator can reset passwords for, see Password reset permissions.

Power BI administratorPower BI Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w programie Microsoft Power BI, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.Users with this role have global permissions within Microsoft Power BI, when the service is present, as well as the ability to manage support tickets and monitor service health. Więcej informacji na temat Power BI roli administratora.More information at Understanding the Power BI admin role.

Administrator platformy w elektrowniPower Platform Administrator

Użytkownicy w tej roli mogą tworzyć wszystkie aspekty środowisk, usługi PowerApps, przepływów, zasady ochrony przed utratą danych i zarządzać nimi.Users in this role can create and manage all aspects of environments, PowerApps, Flows, Data Loss Prevention policies. Ponadto użytkownicy z tą rolą mają możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.Additionally, users with this role have the ability to manage support tickets and monitor service health.

Administrator drukarkiPrinter Administrator

Użytkownicy w tej roli mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w uniwersalnym rozwiązaniu drukowania firmy Microsoft, w tym ustawieniami uniwersalnego łącznika wydruku.Users in this role can register printers and manage all aspects of all printer configurations in the Microsoft Universal Print solution, including the Universal Print Connector settings. Mogą oni wyrazić zgodę na wszystkie delegowane żądania uprawnień do drukowania.They can consent to all delegated print permission requests. Administratorzy drukarek mają również dostęp do raportów drukowania.Printer Administrators also have access to print reports.

Technika drukarkiPrinter Technician

Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać stanem drukarki w uniwersalnym rozwiązaniu firmy Microsoft.Users with this role can register printers and manage printer status in the Microsoft Universal Print solution. Mogą również odczytywać wszystkie informacje o łączniku.They can also read all connector information. Podstawowe zadanie nie można ustawić uprawnień użytkownika w przypadku drukarek i udostępniania drukarek.Key task a Printer Technician cannot do is set user permissions on printers and sharing printers.

Administrator uprzywilejowanego uwierzytelnianiaPrivileged Authentication Administrator

Użytkownicy z tą rolą mogą ustawiać lub resetować dowolną metodę uwierzytelniania (w tym hasła) dla dowolnego użytkownika, łącznie z administratorami globalnymi.Users with this role can set or reset any authentication method (including passwords) for any user, including Global Administrators. Administratorzy uprzywilejowanego uwierzytelniania mogą zmusić użytkowników do ponownego zarejestrowania istniejących poświadczeń niezwiązanych z hasłem (takich jak MFA lub FIDO) i odwołać "Pamiętaj usługę MFA na urządzeniu", monitując o usługę MFA przy następnym logowaniu dla wszystkich użytkowników.Privileged Authentication Administrators can force users to re-register against existing non-password credential (such as MFA or FIDO) and revoke 'remember MFA on the device', prompting for MFA on the next sign-in of all users.

Rola administrator uwierzytelniania ma uprawnienia do wymuszenia ponownej rejestracji i uwierzytelniania wieloskładnikowego dla użytkowników standardowych i użytkowników z niektórymi rolami administratora.The Authentication administrator role has permission to force re-registration and multi-factor authentication for standard users and users with some admin roles.

Rola administrator zasad uwierzytelniania ma uprawnienia do ustawiania zasad metod uwierzytelniania dzierżawy, które określają, które metody mogą być rejestrowane i używane przez każdego użytkownika.The Authentication policy administrator role has permissions to set the tenant's authentication method policy that determines which methods each user can register and use.

Administrator ról uprzywilejowanychPrivileged Role Administrator

Użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure Active Directory, a także w Azure AD Privileged Identity Management.Users with this role can manage role assignments in Azure Active Directory, as well as within Azure AD Privileged Identity Management. Mogą oni tworzyć i zarządzać grupami, które można przypisać do ról usługi Azure AD.They can create and manage groups that can be assigned to Azure AD roles. Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami Privileged Identity Management i jednostek administracyjnych.In addition, this role allows management of all aspects of Privileged Identity Management and administrative units.

Czytelnik raportówReports Reader

Użytkownicy z tą rolą mogą wyświetlać dane raportowania użycia i pulpit nawigacyjny raportów w centrum administracyjnym programu Microsoft 365 i pakietem kontekstu wdrażania w programie Power BI.Users with this role can view usage reporting data and the reports dashboard in Microsoft 365 admin center and the adoption context pack in Power BI. Ponadto rola zapewnia dostęp do raportów i działań związanych z logowaniem w usłudze Azure AD oraz danymi zwracanymi przez interfejs API raportowania Microsoft Graph.Additionally, the role provides access to sign-in reports and activity in Azure AD and data returned by the Microsoft Graph reporting API. Użytkownik przypisany do roli czytelnik raportów może uzyskać dostęp tylko do odpowiednich metryk użycia i wdrażania.A user assigned to the Reports Reader role can access only relevant usage and adoption metrics. Nie mają uprawnień administratora do konfigurowania ustawień lub uzyskiwania dostępu do centrów administracyjnych specyficznych dla produktu, takich jak program Exchange.They don't have any admin permissions to configure settings or access the product-specific admin centers like Exchange. Ta rola nie ma dostępu do wyświetlania biletów pomocy technicznej, tworzenia ich ani zarządzania nimi.This role has no access to view, create, or manage support tickets.

Administrator wyszukiwaniaSearch Administrator

Użytkownicy w tej roli mają pełny dostęp do wszystkich funkcji zarządzania wyszukiwaniem firmy Microsoft w centrum administracyjnym Microsoft 365.Users in this role have full access to all Microsoft Search management features in the Microsoft 365 admin center. Ponadto Ci użytkownicy mogą wyświetlać centrum wiadomości, monitorować kondycję usługi i tworzyć żądania obsługi.Additionally, these users can view the message center, monitor service health, and create service requests.

Edytor wyszukiwaniaSearch Editor

Użytkownicy w tej roli mogą tworzyć i usuwać zawartość usługi Microsoft Search w centrum administracyjnym Microsoft 365, w tym zakładki, pytania Q&jako lokalizacje oraz zarządzać nimi.Users in this role can create, manage, and delete content for Microsoft Search in the Microsoft 365 admin center, including bookmarks, Q&As, and locations.

Administrator zabezpieczeńSecurity Administrator

Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zabezpieczeniami w centrum Microsoft 365 Security Center, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection i Office 365 Security &.Users with this role have permissions to manage security-related features in the Microsoft 365 security center, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection, and Office 365 Security & Compliance Center. Więcej informacji o uprawnieniach pakietu Office 365 jest dostępnych w obszarze uprawnienia w centrum zabezpieczeń & zgodności.More information about Office 365 permissions is available at Permissions in the Security & Compliance Center.

Operator zabezpieczeńSecurity operator

Użytkownicy z tą rolą mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu w funkcjach związanych z zabezpieczeniami, w tym wszystkie informacje w Microsoft 365 Security Center, Azure Active Directory, Identity Protection, Privileged Identity Management i Office 365 Security & Centrum zgodności.Users with this role can manage alerts and have global read-only access on security-related features, including all information in Microsoft 365 security center, Azure Active Directory, Identity Protection, Privileged Identity Management and Office 365 Security & Compliance Center. Więcej informacji o uprawnieniach pakietu Office 365 jest dostępnych w obszarze uprawnienia w centrum zabezpieczeń & zgodności.More information about Office 365 permissions is available at Permissions in the Security & Compliance Center.

Czytelnik zabezpieczeńSecurity Reader

Użytkownicy z tą rolą mają globalny dostęp tylko do odczytu w funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w Microsoft 365 Security Center, Azure Active Directory, Ochrona tożsamości, Privileged Identity Management, a także możliwość odczytywania Azure Active Directory raportów logowania i dzienników inspekcji oraz w centrum zgodności z pakietem Office 365 Security &.Users with this role have global read-only access on security-related feature, including all information in Microsoft 365 security center, Azure Active Directory, Identity Protection, Privileged Identity Management, as well as the ability to read Azure Active Directory sign-in reports and audit logs, and in Office 365 Security & Compliance Center. Więcej informacji o uprawnieniach pakietu Office 365 jest dostępnych w obszarze uprawnienia w centrum zabezpieczeń & zgodności.More information about Office 365 permissions is available at Permissions in the Security & Compliance Center.

Administrator pomocy technicznej usługiService Support Administrator

Użytkownicy z tą rolą mogą otwierać żądania pomocy technicznej z firmą Microsoft dla platformy Azure i usługami Microsoft 365 Services oraz przegląda pulpit nawigacyjny usługi i centrum wiadomości w centrum administracyjnym Azure Portal i Microsoft 365.Users with this role can open support requests with Microsoft for Azure and Microsoft 365 services, and views the service dashboard and message center in the Azure portal and Microsoft 365 admin center. Więcej informacji na temat ról administratorów.More information at About admin roles.

Administrator programu SharePointSharePoint Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft SharePoint Online, gdy usługa jest obecna, a także możliwość tworzenia wszystkich grup Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.Users with this role have global permissions within Microsoft SharePoint Online, when the service is present, as well as the ability to create and manage all Microsoft 365 groups, manage support tickets, and monitor service health. Więcej informacji na temat ról administratorów.More information at About admin roles.

Administrator programu Skype dla firmSkype for Business Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Skype dla firm, gdy usługa jest obecna, a także do zarządzania atrybutami użytkownika specyficznymi dla programu Skype w Azure Active Directory.Users with this role have global permissions within Microsoft Skype for Business, when the service is present, as well as manage Skype-specific user attributes in Azure Active Directory. Ponadto ta rola zapewnia możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi oraz uzyskiwania dostępu do zespołów i centrum administracyjnego programu Skype dla firm.Additionally, this role grants the ability to manage support tickets and monitor service health, and to access the Teams and Skype for Business Admin Center. Konto musi być również licencjonowane dla zespołów lub nie może uruchamiać poleceń cmdlet programu PowerShell dla zespołów.The account must also be licensed for Teams or it can't run Teams PowerShell cmdlets. Więcej informacji na temat roli administratora programu Skype dla firm i zespołów informacje o licencjonowaniu w usłudze Skype dla firm i licencjonowaniu dodatku Microsoft TeamsMore information at About the Skype for Business admin role and Teams licensing information at Skype for Business and Microsoft Teams add-on licensing

Administrator zespołówTeams Administrator

Użytkownicy w tej roli mogą zarządzać wszystkimi aspektami obciążeń programu Microsoft Teams za pośrednictwem Centrum administracyjnego Microsoft Teams & Skype dla firm i odpowiednich modułów programu PowerShell.Users in this role can manage all aspects of the Microsoft Teams workload via the Microsoft Teams & Skype for Business admin center and the respective PowerShell modules. Obejmuje to między innymi wszystkie narzędzia do zarządzania dotyczące telefonii, wiadomości, spotkań i samych zespołów.This includes, among other areas, all management tools related to telephony, messaging, meetings, and the teams themselves. Ta rola dodatkowo daje możliwość tworzenia wszystkich grup Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej oraz monitorowania kondycji usługi.This role additionally grants the ability to create and manage all Microsoft 365 groups, manage support tickets, and monitor service health.

Administratorzy zespołu ds. komunikacjiTeams Communications Administrator

Użytkownicy w tej roli mogą zarządzać aspektami obciążeń programu Microsoft Teams związanymi z usługą telefon & Voice.Users in this role can manage aspects of the Microsoft Teams workload related to voice & telephony. Obejmuje to narzędzia do zarządzania do przypisywania numerów telefonów, zasad dotyczących głosu i spotkania oraz pełny dostęp do zestawu narzędzi do analizy wywołań.This includes the management tools for telephone number assignment, voice and meeting policies, and full access to the call analytics toolset.

Inżynierowie pomocy technicznej dla zespołówTeams Communications Support Engineer

Użytkownicy w tej roli mogą rozwiązywać problemy z komunikacją w usłudze Microsoft Teams & Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams & Skype dla firm.Users in this role can troubleshoot communication issues within Microsoft Teams & Skype for Business using the user call troubleshooting tools in the Microsoft Teams & Skype for Business admin center. Użytkownicy w tej roli mogą wyświetlać pełne informacje o rekordzie wywołania dla wszystkich uczestników.Users in this role can view full call record information for all participants involved. Ta rola nie ma dostępu do wyświetlania biletów pomocy technicznej, tworzenia ich ani zarządzania nimi.This role has no access to view, create, or manage support tickets.

Zespoły ds. pomocy technicznejTeams Communications Support Specialist

Użytkownicy w tej roli mogą rozwiązywać problemy z komunikacją w usłudze Microsoft Teams & Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams & Skype dla firm.Users in this role can troubleshoot communication issues within Microsoft Teams & Skype for Business using the user call troubleshooting tools in the Microsoft Teams & Skype for Business admin center. Użytkownicy w tej roli mogą tylko wyświetlać szczegóły użytkownika w wywołaniu dla określonego użytkownika, który wyszukał.Users in this role can only view user details in the call for the specific user they have looked up. Ta rola nie ma dostępu do wyświetlania biletów pomocy technicznej, tworzenia ich ani zarządzania nimi.This role has no access to view, create, or manage support tickets.

Administrator urządzeń zespołówTeams Devices Administrator

Użytkownicy z tą rolą mogą zarządzać urządzeniami certyfikowanymi przez zespoły z poziomu Centrum administracyjnego zespołów.Users with this role can manage Teams-certified devices from the Teams Admin Center. Ta rola umożliwia szybkie wyświetlanie wszystkich urządzeń z możliwością wyszukiwania i filtrowania urządzeń.This role allows viewing all devices at single glance, with ability to search and filter devices. Użytkownik może sprawdzić szczegóły poszczególnych urządzeń, w tym konta zalogowanego, marki i modelu urządzenia.The user can check details of each device including logged-in account, make and model of the device. Użytkownik może zmienić ustawienia na urządzeniu i zaktualizować wersje oprogramowania.The user can change the settings on the device and update the software versions. Ta rola nie udziela uprawnień do sprawdzania aktywności zespołów i jakości wywołań urządzenia.This role does not grant permissions to check Teams activity and call quality of the device.

Czytnik raportów podsumowujących użyciaUsage Summary Reports Reader

Użytkownicy z tą rolą mogą uzyskać dostęp do zagregowanych danych na poziomie dzierżawy i skojarzonych z nimi szczegółowych informacji w centrum administracyjnym Microsoft 365 w celu użycia i oceny produktywności, ale nie mogą uzyskać dostępu do dowolnych szczegółów na poziomie użytkownika ani szczegółowych danych.Users with this role can access tenant level aggregated data and associated insights in Microsoft 365 Admin Center for Usage and Productivity Score but cannot access any user level details or insights. W Microsoft 365 centrum administracyjnym dla dwóch raportów rozróżniamy zagregowane dane na poziomie dzierżawy i szczegóły na poziomie użytkownika.In Microsoft 365 Admin Center for the two reports, we differentiate between tenant level aggregated data and user level details. Ta rola zapewnia dodatkową warstwę ochrony dla poszczególnych użytkowników, których dane zostały zlecone przez klientów i zespoły prawne.This role gives an extra layer of protection on individual user identifiable data, which was requested by both customers and legal teams.

Administrator użytkownikówUser Administrator

Użytkownicy z tą rolą mogą tworzyć użytkowników i zarządzać wszystkimi aspektami użytkowników z pewnymi ograniczeniami (zobacz tabelę), a także aktualizować zasady wygasania haseł.Users with this role can create users, and manage all aspects of users with some restrictions (see the table), and can update password expiration policies. Ponadto użytkownicy z tą rolą mogą tworzyć wszystkie grupy i zarządzać nimi.Additionally, users with this role can create and manage all groups. Ta rola obejmuje również możliwość tworzenia widoków użytkowników i zarządzania nimi, zarządzania biletami pomocy technicznej oraz monitorowania kondycji usługi.This role also includes the ability to create and manage user views, manage support tickets, and monitor service health. Administratorzy użytkowników nie mają uprawnień do zarządzania niektórymi właściwościami użytkowników w większości ról administratorów.User administrators don't have permission to manage some user properties for users in most administrator roles. Użytkownik z tą rolą nie ma uprawnień do zarządzania usługą MFA.User with this role do not have permissions to manage MFA. Role, które są wyjątkami do tego ograniczenia, są wymienione w poniższej tabeli.The roles that are exceptions to this restriction are listed in the following table.

Uprawnienia roliRole permissions

W poniższych tabelach opisano określone uprawnienia w Azure Active Directory poszczególnych ról.The following tables describe the specific permissions in Azure Active Directory given to each role. Niektóre role mogą mieć dodatkowe uprawnienia w usługach firmy Microsoft poza programem Azure Active Directory.Some roles may have additional permissions in Microsoft services outside of Azure Active Directory.

Uprawnienia administratora aplikacjiApplication Administrator permissions

Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi.Can create and manage all aspects of app registrations and enterprise apps.

Uprawnienia deweloperów aplikacjiApplication Developer permissions

Można utworzyć rejestracje aplikacji niezależne od ustawienia "użytkownicy mogą rejestrować aplikacje".Can create application registrations independent of the 'Users can register applications' setting.

Uprawnienia autora ładunku atakuAttack Payload Author permissions

Może utworzyć ładunki ataków, które mogą zostać później wdrożone przez administratora.Can create attack payloads that can be deployed by an administrator later.

Uprawnienia administratora symulacji atakuAttack Simulation Administrator permissions

Może tworzyć wszystkie aspekty kampanii związanych z symulacją ataków i zarządzać nimi.Can create and manage all aspects of attack simulation campaigns.

Uprawnienia administratora uwierzytelnianiaAuthentication Administrator permissions

Zezwolenie na wyświetlanie, ustawianie i Resetowanie informacji o metodach uwierzytelniania dla dowolnego użytkownika niebędącego administratorem.Allowed to view, set and reset authentication method information for any non-admin user.

Uprawnienia administratora zasad uwierzytelnianiaAuthentication Policy Administrator permissions

Można wyświetlać i ustawiać zasady metod uwierzytelniania, zasady ochrony haseł oraz ustawienia usługi MFA dla całej dzierżawy.Allowed to view and set authentication methods policy, password protection policy, and tenant-wide MFA settings.

Uprawnienia lokalnego administratora urządzenia przyłączonego do usługi Azure ADAzure AD Joined Device Local Administrator permissions

Użytkownicy przypisani do tej roli są dodawani do lokalnej grupy administratorów na urządzeniach dołączonych do usługi Azure AD.Users assigned to this role are added to the local administrators group on Azure AD-joined devices.

Uprawnienia administratora usługi Azure DevOpsAzure DevOps Administrator permissions

Może zarządzać zasadami i ustawieniami organizacji usługi Azure DevOps.Can manage Azure DevOps organization policy and settings.

Uprawnienia administratora Azure Information ProtectionAzure Information Protection Administrator permissions

Może zarządzać wszystkimi aspektami usługi Azure Information Protection.Can manage all aspects of the Azure Information Protection service.

Uprawnienia administratora zestawu kluczy B2C IEFB2C IEF Keyset Administrator permissions

Zarządzaj wpisami tajnymi Federacji i szyfrowania w strukturze środowiska tożsamości.Manage secrets for federation and encryption in the Identity Experience Framework.

Uprawnienia administratora zasad B2C IEFB2C IEF Policy Administrator permissions

Tworzenie zasad zaufania platformy i zarządzanie nimi w strukturze środowiska tożsamości.Create and manage trust framework policies in the Identity Experience Framework.

Uprawnienia administratora rozliczeńBilling Administrator permissions

Może wykonywać typowe zadania związane z rozliczeniami, takie jak aktualizowanie informacji o płatności.Can perform common billing related tasks like updating payment information.

Uprawnienia administratora aplikacji w chmurzeCloud Application Administrator permissions

Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi, z wyjątkiem serwera proxy aplikacji.Can create and manage all aspects of app registrations and enterprise apps except App Proxy.

Uprawnienia administratora urządzenia w chmurzeCloud Device Administrator permissions

Pełny dostęp do zarządzania urządzeniami w usłudze Azure AD.Full access to manage devices in Azure AD.

Uprawnienia administratora zgodnościCompliance Administrator permissions

Może odczytywać i zarządzać konfiguracją zgodności i raportami w usłudze Azure AD i Microsoft 365.Can read and manage compliance configuration and reports in Azure AD and Microsoft 365.

Uprawnienia administratora danych zgodnościCompliance Data Administrator permissions

Tworzy i zarządza zawartością zgodności.Creates and manages compliance content.

Uprawnienia administratora dostępu warunkowegoConditional Access Administrator permissions

Może zarządzać możliwościami dostępu warunkowego.Can manage Conditional Access capabilities.

Uprawnienia osoby zatwierdzającej dostęp skrytki klientaCustomer LockBox Access Approver permissions

Może zatwierdzić żądania pomocy technicznej firmy Microsoft w celu uzyskania dostępu do danych organizacji klienta.Can approve Microsoft support requests to access customer organizational data.

Uprawnienia administratora usługi Desktop AnalyticsDesktop Analytics Administrator permissions

Może zarządzać narzędziami do analizy pulpitu i dostosowywania pakietu Office &ymi usługami zasad.Can manage the Desktop Analytics and Office Customization & Policy services. W przypadku usługi Desktop Analytics obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania, wyświetlania stanu wdrożenia i kondycji.For Desktop Analytics, this includes the ability to view asset inventory, create deployment plans, view deployment and health status. Ta rola umożliwia użytkownikom zarządzanie zasadami pakietu Office w przypadku dostosowywania pakietu Office & Policy Service.For Office Customization & Policy service, this role enables users to manage Office policies.

Uprawnienia czytelnika kataloguDirectory Readers permissions

Może odczytywać podstawowe informacje o katalogu.Can read basic directory information. Do udzielania dostępu do aplikacji nieprzeznaczonych dla użytkowników.For granting access to applications, not intended for users.

Uprawnienia kont synchronizacji katalogówDirectory Synchronization Accounts permissions

Używane przez usługę Azure AD Connect.Only used by Azure AD Connect service.

Uprawnienia autorów katalogówDirectory Writers permissions

Może odczytywać & pisać podstawowe informacje o katalogu.Can read & write basic directory information. Do udzielania dostępu do aplikacji nieprzeznaczonych dla użytkowników.For granting access to applications, not intended for users.

Uprawnienia administratora nazwy domenyDomain Name Administrator permissions

Może zarządzać nazwami domen w chmurze i lokalnie.Can manage domain names in cloud and on-premises.

Uprawnienia administratora systemu Dynamics 365Dynamics 365 Administrator permissions

Może zarządzać wszystkimi aspektami produktu Dynamics 365.Can manage all aspects of the Dynamics 365 product.

Uprawnienia administratora programu ExchangeExchange Administrator permissions

Może zarządzać wszystkimi aspektami produktu Exchange.Can manage all aspects of the Exchange product.

Identyfikator zewnętrzny — uprawnienia administratora przepływu użytkownikaExternal ID User Flow Administrator permissions

Twórz wszystkie aspekty przepływów użytkowników i zarządzaj nimi.Create and manage all aspects of user flows.

Identyfikator zewnętrzny — uprawnienia administratora atrybutu przepływu użytkownikaExternal ID User Flow Attribute Administrator permissions

Utwórz schemat atrybutów dostępny dla wszystkich przepływów użytkowników i Zarządzaj nim.Create and manage the attribute schema available to all user flows.

Uprawnienia administratora zewnętrznego dostawcy tożsamościExternal Identity Provider Administrator permissions

Skonfiguruj dostawców tożsamości do użycia w Federacji bezpośredniej.Configure identity providers for use in direct federation.

Uprawnienia administratora globalnegoGlobal Administrator permissions

Może zarządzać wszystkimi aspektami usługi Azure AD i usługami firmy Microsoft, które korzystają z tożsamości usługi Azure AD.Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.

Globalne uprawnienia czytelnikaGlobal Reader permissions

Może odczytywać wszystko, co Administrator globalny może, ale nie edytować niczego.Can read everything that a Global Administrator can, but not edit anything.

Uprawnienia administratora grupGroups Administrator permissions

Może zarządzać wszystkimi aspektami grup i ustawień grup, takimi jak zasady nazewnictwa i wygasania.Can manage all aspects of groups and group settings like naming and expiration policies.

Uprawnienia osoby zapraszające gościaGuest Inviter permissions

Może zapraszać użytkowników-Gości niezależnie od ustawienia "członkowie mogą zapraszać Gości".Can invite guest users independent of the 'members can invite guests' setting.

Uprawnienia administratora pomocy technicznejHelpdesk Administrator permissions

Można resetować hasła dla administratorów nie będących administratorami i pomocą techniczną.Can reset passwords for non-administrators and Helpdesk Administrators.

Uprawnienia administratora tożsamości hybrydowejHybrid Identity Administrator permissions

Może zarządzać usługą AD w usłudze Azure AD — Inicjowanie obsługi administracyjnej i ustawienia federacyjne.Can manage AD to Azure AD cloud provisioning and federation settings.