Inbyggda roller i Azure AD
Om en annan administratör eller icke-administratör behöver hantera Azure AD resurser i Azure Active Directory (Azure AD) tilldelar du dem en Azure AD roll som ger de behörigheter de behöver. Du kan till exempel tilldela roller för att tillåta tillägg eller ändring av användare, återställning av användarlösenord, hantering av användarlicenser eller hantering av domännamn.
Den här artikeln innehåller Azure AD inbyggda roller som du kan tilldela för att tillåta hantering av Azure AD resurser. Information om hur du tilldelar roller finns i Tilldela Azure AD roller till användare. Om du letar efter roller för att hantera Azure-resurser kan du läsa inbyggda Azure-roller.
Alla roller
| Roll | Beskrivning | Mall-ID |
|---|---|---|
| Programadministratör | Kan skapa och hantera alla aspekter av appregistreringar och företagsappar. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Programutvecklare | Kan skapa programregistreringar oberoende av inställningen "Användare kan registrera program". | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Författare till attacknyttolast | Kan skapa angreppsnyttolaster som en administratör kan initiera senare. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administratör för attacksimulering | Kan skapa och hantera alla aspekter av attacksimuleringskampanjer. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Attributtilldelningsadministratör | Tilldela anpassade nycklar och värden för säkerhetsattribut till Azure AD objekt som stöds. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Attributtilldelningsläsare | Läs anpassade nycklar och värden för säkerhetsattribut för Azure AD objekt som stöds. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Attributdefinitionsadministratör | Definiera och hantera definitionen av anpassade säkerhetsattribut. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Attributdefinitionsläsare | Läs definitionen av anpassade säkerhetsattribut. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Autentiseringsadministratör | Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla icke-administratörsanvändare. | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administratör för autentiseringsprincip | Kan skapa och hantera principen för autentiseringsmetoder, MFA-inställningar för hela klientorganisationen, lösenordsskyddsprincip och verifierbara autentiseringsuppgifter. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure AD ansluten lokal enhetsadministratör | Användare som har tilldelats den här rollen läggs till i den lokala administratörsgruppen på Azure AD anslutna enheter. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps-administratör | Kan hantera Principer och inställningar för Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-administratör | Kan hantera alla aspekter av Azure Information Protection produkt. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Administratör för B2C IEF-nyckeluppsättning | Kan hantera hemligheter för federation och kryptering i IEF (IDENTITY Experience Framework). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Administratör för B2C IEF-princip | Kan skapa och hantera principer för förtroenderamverk i IEF (IDENTITY Experience Framework). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Faktureringsadministratör | Kan utföra vanliga faktureringsrelaterade uppgifter som att uppdatera betalningsinformation. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security administratör | Kan hantera alla aspekter av Cloud App Security produkt. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Molnprogramadministratör | Kan skapa och hantera alla aspekter av appregistreringar och företagsappar förutom appproxy. | 158c047a-c907-4556-b7ef-4465551a6b5f7 |
| Molnenhetsadministratör | Begränsad åtkomst till att hantera enheter i Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Efterlevnadsadministratör | Kan läsa och hantera konfiguration och rapporter för efterlevnad i Azure AD och Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Efterlevnadsdataadministratör | Skapar och hanterar efterlevnadsinnehåll. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administratör för villkorsstyrd åtkomst | Kan hantera funktioner för villkorsstyrd åtkomst. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Kundlåsbox-åtkomstgodkännare | Kan godkänna Microsofts supportförfrågningar för att få åtkomst till kundorganisationsdata. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics administratör | Kan komma åt och hantera verktyg och tjänster för skrivbordshantering. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Katalogläsare | Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Katalogsynkroniseringskonton | Används endast av Azure AD Anslut-tjänsten. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Katalogförfattare | Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Domännamnsadministratör | Kan hantera domännamn i molnet och lokalt. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-administratör | Kan hantera alla aspekter av Dynamics 365-produkten. | 44367163-eba1-44c3-98af-f5787879f96a |
| Edge-administratör | Hantera alla aspekter av Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange administratör | Kan hantera alla aspekter av Exchange produkt. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange mottagaradministratör | Kan skapa eller uppdatera Exchange Online mottagare inom Exchange Online organisation. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Extern ID-användare Flow administratör | Kan skapa och hantera alla aspekter av användarflöden. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administratör för externt ID-Flow-attribut | Kan skapa och hantera attributschemat som är tillgängligt för alla användarflöden. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Administratör för extern identitetsprovider | Kan konfigurera identitetsprovidrar för användning i direkt federation. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Global administratör | Kan hantera alla aspekter av Azure AD och Microsoft-tjänster som använder Azure AD identiteter. | 62e90394-69f5-4237-9190-012177145e10 |
| Global läsare | Kan läsa allt som en global administratör kan, men inte uppdatera någonting. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Gruppadministratör | Medlemmar i den här rollen kan skapa/hantera grupper, skapa/hantera gruppinställningar som namngivnings- och förfalloprinciper samt visa gruppers aktivitet och granskningsrapporter. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Gäst inbjudare | Kan bjuda in gästanvändare oberoende av inställningen "medlemmar kan bjuda in gäster". | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och supportadministratörer. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybrididentitetsadministratör | Kan hantera AD för att Azure AD molnetablering, Azure AD Anslut, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel inloggning (sömlös enkel inloggning) och federationsinställningar. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identitetsstyrningsadministratör | Hantera åtkomst med hjälp av Azure AD för scenarier för identitetsstyrning. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights administratör | Har administrativ åtkomst i Microsoft 365 Insights-appen. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights analytiker | Få åtkomst till analysfunktionerna i Microsoft Viva Insights och kör anpassade frågor. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Företagsledare | Kan visa och dela instrumentpaneler och insikter via Microsoft 365 Insights-appen. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune administratör | Kan hantera alla aspekter av Intune produkt. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala administratör | Kan hantera inställningar för Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Kunskapsadministratör | Kan konfigurera kunskap, utbildning och andra intelligenta funktioner. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Knowledge Manager | Kan organisera, skapa, hantera och främja ämnen och kunskap. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Licensadministratör | Kan hantera produktlicenser för användare och grupper. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Sekretessläsare för Meddelandecenter | Kan endast läsa säkerhetsmeddelanden och uppdateringar i Office 365 Meddelandecenter. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Meddelandecenterläsare | Kan endast läsa meddelanden och uppdateringar för organisationen i Office 365 Meddelandecenter. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Modern Commerce-användare | Kan hantera kommersiella inköp för ett företag, en avdelning eller ett team. | d24aef57-1500-4070-84db-2666f29cf966 |
| Nätverksadministratör | Kan hantera nätverksplatser och granska företagets nätverksdesigninsikter för Microsoft 365 program som en tjänst. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office Apps-administratör | Kan hantera molntjänster för Office appar, inklusive princip- och inställningshantering, och hantera möjligheten att välja, avmarkera och publicera "vad är nytt" funktionsinnehåll på slutanvändarens enheter. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Support för partnernivå 1 | Använd inte – är inte avsett för allmän användning. | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Support för partnernivå 2 | Använd inte – är inte avsett för allmän användning. | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Lösenordsadministratör | Kan återställa lösenord för icke-administratörer och lösenordsadministratörer. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Power BI administratör | Kan hantera alla aspekter av Power BI produkt. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Power Platform-administratör | Kan skapa och hantera alla aspekter av Microsoft Dynamics 365, Power Apps och Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Skrivaradministratör | Kan hantera alla aspekter av skrivare och skrivaranslutningar. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Skrivartekniker | Kan registrera och avregistrera skrivare och uppdatera skrivarstatus. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Administratör för privilegierad autentisering | Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administratör för privilegierad roll | Kan hantera rolltilldelningar i Azure AD och alla aspekter av Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Rapportläsare | Kan läsa inloggnings- och granskningsrapporter. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Sökadministratör | Kan skapa och hantera alla aspekter av Microsoft Search inställningar. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Sökredigeraren | Kan skapa och hantera redaktionellt innehåll som bokmärken, Q och Som, platser, planritning. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Säkerhetsadministratör | Kan läsa säkerhetsinformation och rapporter och hantera konfiguration i Azure AD och Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Säkerhetsoperatör | Skapar och hanterar säkerhetshändelser. | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Säkerhetsläsare | Kan läsa säkerhetsinformation och rapporter i Azure AD och Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Tjänstsupportadministratör | Kan läsa information om tjänstens hälsa och hantera supportärenden. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint-administratör | Kan hantera alla aspekter av SharePoint-tjänsten. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype för företag-administratör | Kan hantera alla aspekter av Skype för företag produkt. | 75941009-915a-4869-abe7-691bff18279e |
| Teams-administratör | Kan hantera Microsoft Teams-tjänsten. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams Communications Administrator | Kan hantera samtals- och mötesfunktioner i Microsoft Teams-tjänsten. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| supporttekniker för Teams-kommunikation | Kan felsöka kommunikationsproblem inom Teams med hjälp av avancerade verktyg. | f70938a0-fc10-4177-9e90-2178f8765737 |
| supportspecialist för Teams-kommunikation | Kan felsöka kommunikationsproblem inom Teams med hjälp av grundläggande verktyg. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| administratör för Teams-enheter | Kan utföra hanteringsrelaterade uppgifter på Teams certifierade enheter. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Läsare av användningssammanfattningsrapporter | Kan bara se aggregeringar på klientorganisationsnivå i Microsoft 365 användningsanalys och produktivitetspoäng. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administratör för virtuella besök | Hantera och dela information om virtuella besök och mått från administrationscenter eller appen Virtuella besök. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Windows 365-administratör | Kan etablera och hantera alla aspekter av molndatorer. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update distributionsadministratör | Kan skapa och hantera alla aspekter av Windows Update distributioner via distributionstjänsten Windows Update för företag. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Programadministratör
Användare i den här rollen kan skapa och hantera alla aspekter av företagsprogram, programregistreringar och programproxyinställningar. Observera att användare som tilldelats den här rollen inte läggs till som ägare när nya programregistreringar eller företagsprogram skapas.
Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Microsoft Graph.
Viktigt
Det här undantaget innebär att du fortfarande kan godkänna programbehörigheter för andra appar (till exempel appar som inte kommer från Microsoft eller appar som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (d.v.s. medgivande till) dessa behörigheter krävs en mer privilegierad administratör, till exempel global administratör.
Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som har tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en höjning av behörigheten jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Azure AD |
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/applicationProxy/read | Läsa alla egenskaper för programproxy |
| microsoft.directory/applications/applicationProxy/update | Uppdatera alla egenskaper för programproxy |
| microsoft.directory/applications/applicationProxyAuthentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/applicationProxySslCertificate/update | Uppdatera SSL-certifikatinställningar för programproxy |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Uppdatera URL-inställningar för programproxy |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera programägare |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/applications/verification/update | Uppdatera egenskapen applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/connectors/create | Skapa anslutningsappar för programproxy |
| microsoft.directory/connectors/allProperties/read | Läs alla egenskaper för programproxyanslutningsprogram |
| microsoft.directory/connectorGroups/create | Skapa programproxyanslutningsgrupper |
| microsoft.directory/connectorGroups/delete | Ta bort programproxyanslutningsgrupper |
| microsoft.directory/connectorGroups/allProperties/read | Läs alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/connectorGroups/allProperties/update | Uppdatera alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Skapa och hantera anpassade autentiseringstillägg |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/applicationPolicies/create | Skapa programprinciper |
| microsoft.directory/applicationPolicies/delete | Ta bort programprinciper |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/read | Läs ägare om programprinciper |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Läsa programprinciper som tillämpas på objektlistan |
| microsoft.directory/applicationPolicies/basic/update | Uppdatera standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/update | Uppdatera ägaregenskapen för programprinciper |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och scheman för programetablering |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller alla användare, förutom programbehörigheter för Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Programutvecklare
Användare i den här rollen kan skapa programregistreringar när inställningen "Användare kan registrera program" är inställd på Nej. Den här rollen ger också behörighet att godkänna för ens egen räkning när inställningen "Användare kan godkänna att appar får åtkomst till företagsdata för deras räkning" är inställd på Nej. Användare som tilldelats den här rollen läggs till som ägare när nya programregistreringar skapas.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/createAsOwner | Skapa alla typer av program och skaparen läggs till som första ägare |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Skapa OAuth 2.0-behörighetsbidrag med skaparen som första ägare |
| microsoft.directory/servicePrincipals/createAsOwner | Skapa tjänstens huvudnamn med skaparen som första ägare |
Författare till attacknyttolast
Användare i den här rollen kan skapa attacknyttolaster men inte starta eller schemalägga dem. Attacknyttolaster är sedan tillgängliga för alla administratörer i klientorganisationen som kan använda dem för att skapa en simulering.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om angreppssimuleringssvar och tillhörande utbildning |
Administratör för attacksimulering
Användare i den här rollen kan skapa och hantera alla aspekter av skapande av attacksimulering, start/schemaläggning av en simulering och granskning av simuleringsresultat. Medlemmar i den här rollen har den här åtkomsten för alla simuleringar i klientorganisationen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om angreppssimuleringssvar och tillhörande utbildning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Skapa och hantera mallar för attacksimulering i attacksimulatorn |
Attributtilldelningsadministratör
Användare med den här rollen kan tilldela och ta bort anpassade nycklar och värden för säkerhetsattribut för Azure AD objekt som stöds, till exempel användare, tjänstens huvudnamn och enheter.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Azure AD.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läs alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läs alla egenskaper för anpassade definitioner av säkerhetsattribut |
| microsoft.directory/devices/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för enheter |
| microsoft.directory/devices/customSecurityAttributes/update | Uppdatera anpassade värden för säkerhetsattribut för enheter |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Uppdatera anpassade värden för säkerhetsattribut för tjänstens huvudnamn |
| microsoft.directory/users/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för användare |
| microsoft.directory/users/customSecurityAttributes/update | Uppdatera anpassade värden för säkerhetsattribut för användare |
Attributtilldelningsläsare
Användare med den här rollen kan läsa anpassade nycklar och värden för säkerhetsattribut för Azure AD objekt som stöds.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Azure AD.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läs alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läs alla egenskaper för anpassade definitioner av säkerhetsattribut |
| microsoft.directory/devices/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för enheter |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för tjänstens huvudnamn |
| microsoft.directory/users/customSecurityAttributes/read | Läsa anpassade värden för säkerhetsattribut för användare |
Attributdefinitionsadministratör
Användare med den här rollen kan definiera en giltig uppsättning anpassade säkerhetsattribut som kan tilldelas till Azure AD objekt som stöds. Den här rollen kan också aktivera och inaktivera anpassade säkerhetsattribut.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Azure AD.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Hantera alla aspekter av attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Hantera alla aspekter av anpassade definitioner av säkerhetsattribut |
Attributdefinitionsläsare
Användare med den här rollen kan läsa definitionen av anpassade säkerhetsattribut.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas en av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Azure AD.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läsa alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läsa alla egenskaper för anpassade definitioner av säkerhetsattribut |
Autentiseringsadministratör
Användare med den här rollen kan ange eller återställa valfri autentiseringsmetod (inklusive lösenord) för icke-administratörer och vissa roller. Autentiseringsadministratörer kan kräva att användare som inte är administratörer eller tilldelade till vissa roller registrerar om mot befintliga autentiseringsuppgifter som inte är lösenord (till exempel MFA eller FIDO), och kan även återkalla MFA på enheten, vilket uppmanar till MFA vid nästa inloggning. En lista över de roller som en autentiseringsadministratör kan läsa eller uppdatera autentiseringsmetoder finns i Behörigheter för lösenordsåterställning.
Administratörsrollen för privilegierad autentisering har behörighet att framtvinga omregistrering och multifaktorautentisering för alla användare.
Rollen Administratör för autentiseringsprincip har behörighet att ange klientens autentiseringsmetodprincip som avgör vilka metoder varje användare kan registrera och använda.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera princip för autentiseringsmetod | Hantera lösenordsskyddsprincip |
|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare (se ovan) | Ja för vissa användare (se ovan) | Inga | Nej | Nej |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Nej | Inga | Inga |
| Administratör för autentiseringsprincip | Inga | Inga | Ja | Ja | Ja |
Viktigt
Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Azure Active Directory. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Azure AD och någon annanstans som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare, som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupper och Microsoft 365 gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan bevilja åtkomst till känslig eller privat information eller kritisk konfiguration i Azure AD och någon annanstans.
- Administratörer i andra tjänster utanför Azure AD som Exchange Online, Office 365 Security & Compliance Center och personalsystem.
- Icke-administratörer som chefer, juridiska rådgivare och personalpersonal som kan ha åtkomst till känslig eller privat information.
Viktigt
Den här rollen kan inte hantera MFA-inställningar i den äldre MFA-hanteringsportalen eller OATH-maskinvarutoken. Samma funktioner kan utföras med hjälp av kommandoleten Set-MsolUser Azure AD PowerShell-modulen.
Användare med den här rollen kan inte ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Skapa autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för autentiseringsprincip
Användare med den här rollen kan konfigurera principen för autentiseringsmetoder, MFA-inställningar för hela klientorganisationen och lösenordsskyddsprincipen. Den här rollen ger behörighet att hantera inställningar för lösenordsskydd: konfigurationer för smart utelåsning och uppdatering av listan över anpassade förbjudna lösenord.
Rollerna Autentiseringsadministratör och Privilegierad autentiseringsadministratör har behörighet att hantera registrerade autentiseringsmetoder för användare och kan framtvinga omregistrering och multifaktorautentisering för alla användare.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera princip för autentiseringsmetod | Hantera lösenordsskyddsprincip |
|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare (se ovan) | Ja för vissa användare (se ovan) | Nej | Nej | Nej |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Inga | Nej | Inga |
| Administratör för autentiseringsprincip | Inga | Nej | Ja | Ja | Ja |
Viktigt
Den här rollen kan inte hantera MFA-inställningar i den äldre MFA-hanteringsportalen eller OATH-maskinvarutoken.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Hantera alla aspekter av starka autentiseringsegenskaper för en organisation |
| microsoft.directory/userCredentialPolicies/create | Skapa principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/delete | Ta bort principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/standard/read | Läsa standardegenskaper för autentiseringsprinciper för användare |
| microsoft.directory/userCredentialPolicies/owners/read | Läs ägare av principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Läs policy.appliesTill navigeringslänk |
| microsoft.directory/userCredentialPolicies/basic/update | Uppdatera grundläggande principer för användare |
| microsoft.directory/userCredentialPolicies/owners/update | Uppdatera ägare av principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Uppdatera egenskapen policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läsa ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Återkalla ett verifierbart autentiseringsuppgiftskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Skapa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Uppdatera ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/create | Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/delete | Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Uppdateringskonfiguration krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
Azure AD ansluten lokal administratör för enhet
Den här rollen är endast tillgänglig för tilldelning som ytterligare en lokal administratör i Enhetsinställningar. Användare med den här rollen blir lokala datoradministratörer på alla Windows 10 enheter som är anslutna till Azure Active Directory. De har inte möjlighet att hantera enhetsobjekt i Azure Active Directory.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/groupSettings/standard/read | Läsa grundläggande egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/standard/read | Läsa grundläggande egenskaper för mallar för gruppinställningar |
Azure DevOps-administratör
Användare med den här rollen kan hantera alla Azure DevOps-principer för företag som gäller för alla Azure DevOps-organisationer som backas upp av Azure AD. Användare i den här rollen kan hantera dessa principer genom att gå till valfri Azure DevOps-organisation som backas upp av företagets Azure AD. Dessutom kan användare i den här rollen göra anspråk på ägarskap för överblivna Azure DevOps-organisationer. Den här rollen ger inga andra Azure DevOps-specifika behörigheter (till exempel Project-samlingsadministratörer) i någon av De Azure DevOps-organisationer som stöds av företagets Azure AD organisation.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Läsa och konfigurera Azure DevOps |
Azure Information Protection-administratör
Användare med den här rollen har alla behörigheter i Azure Information Protection-tjänsten. Med den här rollen kan du konfigurera etiketter för Azure Information Protection-principen, hantera skyddsmallar och aktivera skydd. Den här rollen beviljar inga behörigheter i Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health eller Office 365 Security & Compliance Center.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
B2C IEF-nyckeluppsättningsadministratör
Användaren kan skapa och hantera principnycklar och hemligheter för tokenkryptering, tokensignaturer och anspråkskryptering/dekryptering. Genom att lägga till nya nycklar i befintliga nyckelcontainrar kan den här begränsade administratören återställa hemligheter efter behov utan att påverka befintliga program. Den här användaren kan se det fullständiga innehållet i dessa hemligheter och deras förfallodatum även efter att de har skapats.
Viktigt
Det här är en känslig roll. Nyckeluppsättningens administratörsroll bör granskas noggrant och tilldelas med försiktighet under förproduktion och produktion.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Läsa och konfigurera nyckeluppsättningar i Azure Active Directory B2C |
B2C IEF-principadministratör
Användare i den här rollen har möjlighet att skapa, läsa, uppdatera och ta bort alla anpassade principer i Azure AD B2C och har därför fullständig kontroll över Identity Experience Framework i den relevanta Azure AD B2C-organisationen. Genom att redigera principer kan den här användaren upprätta direkt federation med externa identitetsprovidrar, ändra katalogschemat, ändra allt användaranslutet innehåll (HTML, CSS, JavaScript), ändra kraven för att slutföra en autentisering, skapa nya användare, skicka användardata till externa system inklusive fullständiga migreringar och redigera all användarinformation, inklusive känsliga fält som lösenord och telefonnummer. Den här rollen kan inte ändra krypteringsnycklarna eller redigera hemligheterna som används för federation i organisationen.
Viktigt
B2 IEF-principadministratören är en mycket känslig roll som bör tilldelas på en mycket begränsad basis för organisationer i produktion. Aktiviteter av dessa användare bör granskas noggrant, särskilt för organisationer i produktion.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Läsa och konfigurera anpassade principer i Azure Active Directory B2C |
Faktureringsadministratör
Gör inköp, hanterar prenumerationer, hanterar supportärenden och övervakar tjänstens hälsa.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/organization/basic/update | Uppdatera grundläggande egenskaper för organisationen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.commerce.billing/allEntities/allTasks | Hantera alla aspekter av Office 365 fakturering |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Cloud App Security-administratör
Användare med den här rollen har fullständiga behörigheter i Cloud App Security. De kan lägga till administratörer, lägga till Microsoft Cloud App Security (MCAS) principer och inställningar, ladda upp loggar och utföra styrningsåtgärder.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Cloud App Security |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Molnprogramadministratör
Användare i den här rollen har samma behörigheter som programadministratörsrollen, förutom möjligheten att hantera programproxy. Den här rollen ger möjlighet att skapa och hantera alla aspekter av företagsprogram och programregistreringar. Användare som har tilldelats den här rollen läggs inte till som ägare när nya programregistreringar eller företagsprogram skapas.
Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Microsoft Graph.
Viktigt
Det här undantaget innebär att du fortfarande kan godkänna programbehörigheter för andra appar (till exempel appar som inte kommer från Microsoft eller appar som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (d.v.s. medgivande till) dessa behörigheter krävs en mer privilegierad administratör, till exempel global administratör.
Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som har tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en höjning av behörigheten jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Azure AD |
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera programtaggar |
| microsoft.directory/applications/verification/update | Uppdatera programverifieringsegenskap |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörigheter och läs och uppdatera alla egenskaper |
| microsoft.directory/applicationPolicies/create | Skapa programprinciper |
| microsoft.directory/applicationPolicies/delete | Ta bort programprinciper |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/read | Läs ägare om programprinciper |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Läsa programprinciper som tillämpas på objektlistan |
| microsoft.directory/applicationPolicies/basic/update | Uppdatera standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/update | Uppdatera ägaregenskapen för programprinciper |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och scheman för programetablering |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller alla användare, förutom programbehörigheter för Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Molnenhetsadministratör
Användare i den här rollen kan aktivera, inaktivera och ta bort enheter i Azure AD och läsa Windows 10 BitLocker-nycklar (om de finns) i Azure Portal. Rollen beviljar inte behörighet att hantera andra egenskaper på enheten.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/devices/delete | Ta bort enheter från Azure AD |
| microsoft.directory/devices/disable | Inaktivera enheter i Azure AD |
| microsoft.directory/devices/enable | Aktivera enheter i Azure AD |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceManagementPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
Efterlevnadsadministratör
Användare med den här rollen har behörighet att hantera efterlevnadsrelaterade funktioner i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365, Azure och Office 365 Security & Compliance Center. Tilldelare kan också hantera alla funktioner i Exchange administrationscenter och Teams & Skype för företag administrationscenter och skapa supportärenden för Azure och Microsoft 365. Mer information finns i Om Microsoft 365 administratörsroller.
| I | Kan göra |
|---|---|
| efterlevnadsportal i Microsoft Purview | Skydda och hantera organisationens data i Microsoft 365 tjänster Hantera efterlevnadsaviseringar |
| Compliance Manager (Efterlevnadshanteraren) | Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter |
| Office 365 Säkerhet & Efterlevnadscenter | Hantera datastyrning Utföra juridiska undersökningar och dataundersökningar Hantera begäran från datasubjekt Den här rollen har samma behörigheter som rollgruppen Efterlevnadsadministratör i Office 365 rollbaserad åtkomstkontroll i Security & Compliance Center. |
| Intune | Visa alla Intune granskningsdata |
| Cloud App Security | Har skrivskyddade behörigheter och kan hantera aviseringar Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder Kan visa alla inbyggda rapporter under Datahantering |
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Azure AD berättigandehantering |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Efterlevnadsdataadministratör
Användare med den här rollen har behörighet att spåra data i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365 och Azure. Användare kan också spåra efterlevnadsdata i administrationscentret för Exchange, Efterlevnadshanteraren och Teams & Skype för företag administrationscenter och skapa supportärenden för Azure och Microsoft 365. Den här dokumentationen innehåller information om skillnaderna mellan efterlevnadsadministratör och administratör för efterlevnadsdata.
| I | Kan göra |
|---|---|
| efterlevnadsportal i Microsoft Purview | Övervaka efterlevnadsrelaterade principer för Microsoft 365 tjänster Hantera efterlevnadsaviseringar |
| Compliance Manager (Efterlevnadshanteraren) | Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter |
| Office 365 Säkerhet & Efterlevnadscenter | Hantera datastyrning Utföra juridiska undersökningar och dataundersökningar Hantera begäran från datasubjekt Den här rollen har samma behörigheter som rollgruppen administratör för efterlevnadsdata i rollbaserad åtkomstkontroll i Office 365 Security & Compliance Center. |
| Intune | Visa alla Intune granskningsdata |
| Cloud App Security | Har skrivskyddade behörigheter och kan hantera aviseringar Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder Kan visa alla inbyggda rapporter under Datahantering |
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Cloud App Security |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för villkorsstyrd åtkomst
Användare med den här rollen kan hantera Azure Active Directory inställningar för villkorlig åtkomst.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läsa villkorlig åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägare av principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/owners/update | Uppdatera ägare för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Uppdatera standardklientorganisationen för principer för villkorlig åtkomst |
Kundlåsbox-åtkomstgodkännare
Hanterar kundlåsbox-begäranden i din organisation. De får e-postaviseringar för Customer Lockbox-begäranden och kan godkänna och neka begäranden från Administrationscenter för Microsoft 365. De kan också aktivera eller inaktivera funktionen Customer Lockbox. Endast globala administratörer kan återställa lösenorden för personer som har tilldelats den här rollen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Hantera alla aspekter av Customer Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Desktop Analytics administratör
Användare i den här rollen kan hantera Desktop Analytics-tjänsten. Detta inkluderar möjligheten att visa tillgångsinventering, skapa distributionsplaner och visa distributions- och hälsostatus.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Hantera alla aspekter av Desktop Analytics |
Katalogläsare
Användare i den här rollen kan läsa grundläggande kataloginformation. Den här rollen ska användas för:
- Bevilja en specifik uppsättning gästanvändare läsåtkomst i stället för att bevilja den till alla gästanvändare.
- Att ge en specifik uppsättning användare som inte är administratörer åtkomst till Azure Portal när "Begränsa åtkomsten till Azure AD portalen endast till administratörer" är inställt på "Ja".
- Bevilja tjänstens huvudnamn åtkomst till katalogen där Directory.Read.All inte är ett alternativ.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Läs grundläggande egenskaper för administrativa enheter |
| microsoft.directory/administrativeUnits/members/read | Läs medlemmar i administrativa enheter |
| microsoft.directory/applications/standard/read | Läsa standardegenskaper för program |
| microsoft.directory/applications/owners/read | Läs ägare av program |
| microsoft.directory/applications/policies/read | Läsa programprinciper |
| microsoft.directory/contacts/standard/read | Läs grundläggande egenskaper för kontakter i Azure AD |
| microsoft.directory/contacts/memberOf/read | Läs gruppmedlemskapet för alla kontakter i Azure AD |
| microsoft.directory/contracts/standard/read | Läs grundläggande egenskaper för partnerkontrakt |
| microsoft.directory/devices/standard/read | Läsa grundläggande egenskaper på enheter |
| microsoft.directory/devices/memberOf/read | Läsa enhetsmedlemskap |
| microsoft.directory/devices/registeredOwners/read | Läsa registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/read | Läsa registrerade användare av enheter |
| microsoft.directory/directoryRoles/standard/read | Läsa grundläggande egenskaper i Azure AD roller |
| microsoft.directory/directoryRoles/eligibleMembers/read | Läs de berättigade medlemmarna i Azure AD roller |
| microsoft.directory/directoryRoles/members/read | Läsa alla medlemmar i Azure AD roller |
| microsoft.directory/domains/standard/read | Läsa grundläggande egenskaper för domäner |
| microsoft.directory/groups/standard/read | Läs standardegenskaper för säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/appRoleAssignments/read | Läsa programrolltilldelningar för grupper |
| microsoft.directory/groups/memberOf/read | Läs egenskapen memberOf i Säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/read | Läs medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/read | Läs ägare av säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/read | Läs inställningar för grupper |
| microsoft.directory/groupSettings/standard/read | Läsa grundläggande egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/standard/read | Läsa grundläggande egenskaper för gruppinställningsmallar |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Läs grundläggande egenskaper för OAuth 2.0-behörighetsbidrag |
| microsoft.directory/organization/standard/read | Läsa grundläggande egenskaper i en organisation |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Läs betrodda certifikatutfärdare för lösenordslös autentisering |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/roleAssignments/standard/read | Läsa grundläggande egenskaper för rolltilldelningar |
| microsoft.directory/roleDefinitions/standard/read | Läsa grundläggande egenskaper för rolldefinitioner |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Läsa rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Läsa rolltilldelningar som tilldelats tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/standard/read | Läs grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/memberOf/read | Läs gruppmedlemskapen i tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/read | Läs ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/ownedObjects/read | Läsa ägda objekt för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/read | Läsa principer för tjänstens huvudnamn |
| microsoft.directory/subscribedSkus/standard/read | Läsa grundläggande egenskaper för prenumerationer |
| microsoft.directory/users/standard/read | Läsa grundläggande egenskaper för användare |
| microsoft.directory/users/appRoleAssignments/read | Läsa programrolltilldelningar för användare |
| microsoft.directory/users/deviceForResourceAccount/read | Läs deviceForResourceKonto för användare |
| microsoft.directory/users/directReports/read | Läs direktrapporterna för användare |
| microsoft.directory/users/licenseDetails/read | Läs licensinformation för användare |
| microsoft.directory/users/manager/read | Läs chef för användare |
| microsoft.directory/users/memberOf/read | Läs gruppmedlemskap för användare |
| microsoft.directory/users/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för användare |
| microsoft.directory/users/ownedDevices/read | Läsägda enheter för användare |
| microsoft.directory/users/ownedObjects/read | Läsägda objekt för användare |
| microsoft.directory/users/photo/read | Läs foto av användare |
| microsoft.directory/users/registeredDevices/read | Läsa registrerade enheter för användare |
| microsoft.directory/users/scopedRoleMemberOf/read | Läs användarens medlemskap i en Azure AD roll, som är begränsad till en administrativ enhet |
Katalogsynkroniseringskonton
Använd inte. Den här rollen tilldelas automatiskt till Azure AD Anslut-tjänsten och är inte avsedd eller stöds inte för någon annan användning.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera programägare |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera en hybridautentiseringsprincip i Azure AD |
| microsoft.directory/organization/dirSync/update | Uppdatera egenskapen för synkronisering av organisationskatalog |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Azure AD |
| microsoft.directory/policies/create | Skapa principer i Azure AD |
| microsoft.directory/policies/delete | Ta bort principer i Azure AD |
| microsoft.directory/policies/standard/read | Läs grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/read | Läs ägare av principer |
| microsoft.directory/policies/policyAppliedTo/read | Läs egenskapen policies.policyAppliedTo |
| microsoft.directory/policies/basic/update | Uppdatera grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/update | Uppdatera ägare av principer |
| microsoft.directory/policies/tenantDefault/update | Uppdatera standardorganisationsprinciper |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning med lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Läsa rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Läsa rolltilldelningar som tilldelats tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/standard/read | Läs grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/memberOf/read | Läs gruppmedlemskapen i tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/read | Läs ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/ownedObjects/read | Läsa ägda objekt för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/read | Läsa principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
Katalogförfattare
Användare i den här rollen kan läsa och uppdatera grundläggande information om användare, grupper och tjänstens huvudnamn. Tilldela den här rollen endast till program som inte stöder Consent Framework. Den bör inte tilldelas till några användare.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Azure Active Directory grupper som ska skrivas tillbaka till lokala Azure AD Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groupSettings/create | Skapa gruppinställningar |
| microsoft.directory/groupSettings/delete | Ta bort gruppinställningar |
| microsoft.directory/groupSettings/basic/update | Uppdatera grundläggande egenskaper för gruppinställningar |
| microsoft.directory/oAuth2PermissionGrants/create | Skapa OAuth 2.0-behörighetsbidrag |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Uppdatera OAuth 2.0-behörighetsbidrag |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och scheman för programetablering |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägga till användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Tvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
Domännamnsadministratör
Användare med den här rollen kan hantera (läsa, lägga till, verifiera, uppdatera och ta bort) domännamn. De kan också läsa kataloginformation om användare, grupper och program, eftersom dessa objekt har domänberoenden. För lokala miljöer kan användare med den här rollen konfigurera domännamn för federation så att associerade användare alltid autentiseras lokalt. Dessa användare kan sedan logga in på Azure AD-baserade tjänster med sina lokala lösenord via enkel inloggning. Federationsinställningar måste synkroniseras via Azure AD Anslut, så användarna har också behörighet att hantera Azure AD Anslut.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Dynamics 365-administratör
Användare med den här rollen har globala behörigheter inom Microsoft Dynamics 365 Online, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Använda tjänstadministratörsrollen för att hantera din Azure AD organisation.
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "Dynamics 365-tjänstadministratör". Det är "Dynamics 365 Administrator" i Azure Portal.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Edge-administratör
Användare i den här rollen kan skapa och hantera företagswebbplatslistan som krävs för Internet Explorer-läge på Microsoft Edge. Den här rollen ger behörighet att skapa, redigera och publicera webbplatslistan och ger dessutom åtkomst för att hantera supportärenden. Läs mer
| Åtgärder | Beskrivning |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Exchange administratör
Användare med den här rollen har globala behörigheter inom Microsoft Exchange Online när tjänsten finns. Har också möjlighet att skapa och hantera alla Microsoft 365 grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Om Microsoft 365 administratörsroller.
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "Exchange-tjänstadministratör". Det är "Exchange Administrator" i Azure Portal. Det är "Exchange Online administratör" i Exchange administrationscenter.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365 grupper från en mjukt borttagen container, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.exchange/allEntities/basic/allTasks | Hantera alla aspekter av Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läsa användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Exchange mottagaradministratör
Användare med den här rollen har läsåtkomst till mottagare och skrivåtkomst till attributen för dessa mottagare i Exchange Online. Mer information finns i Exchange mottagare.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.exchange/allRecipients/allProperties/allTasks | Skapa och ta bort alla mottagare och läs och uppdatera alla egenskaper för mottagare i Exchange Online |
| microsoft.office365.exchange/messageTracking/allProperties/allTasks | Hantera alla uppgifter i meddelandespårning i Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Hantera alla uppgifter som rör migrering av mottagare i Exchange Online |
Flow administratör för externt ID
Användare med den här rollen kan skapa och hantera användarflöden (kallas även "inbyggda" principer) i Azure Portal. Dessa användare kan anpassa HTML/CSS/JavaScript-innehåll, ändra MFA-krav, välja anspråk i token, hantera API-anslutningsappar och deras autentiseringsuppgifter och konfigurera sessionsinställningar för alla användarflöden i Azure AD organisationen. Å andra sidan inkluderar den här rollen inte möjligheten att granska användardata eller göra ändringar i attributen som ingår i organisationsschemat. Ändringar av Identity Experience Framework-principer (även kallade anpassade principer) ligger också utanför omfånget för den här rollen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Läsa och konfigurera användarflöde i Azure Active Directory B2C |
Administratör för Flow för externt ID-Flow
Användare med den här rollen lägger till eller tar bort anpassade attribut som är tillgängliga för alla användarflöden i Azure AD organisationen. Därför kan användare med den här rollen ändra eller lägga till nya element i slutanvändarschemat och påverka beteendet för alla användarflöden och indirekt resultera i ändringar i vilka data som kan efterfrågas av slutanvändare och slutligen skickas som anspråk till program. Den här rollen kan inte redigera användarflöden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Läsa och konfigurera användarattribut i Azure Active Directory B2C |
Extern identitetsprovideradministratör
Den här administratören hanterar federation mellan Azure AD organisationer och externa identitetsprovidrar. Med den här rollen kan användare lägga till nya identitetsprovidrar och konfigurera alla tillgängliga inställningar (t.ex. autentiseringssökväg, tjänst-ID, tilldelade nyckelcontainrar). Den här användaren kan göra det möjligt för Azure AD organisation att lita på autentiseringar från externa identitetsprovidrar. Den resulterande effekten på slutanvändarupplevelser beror på typen av organisation:
- Azure AD organisationer för anställda och partner: Tillägget av en federation (t.ex. med Gmail) påverkar omedelbart alla gästinbjudningar som ännu inte lösts in. Se Lägga till Google som identitetsprovider för B2B-gästanvändare.
- Azure Active Directory B2C-organisationer: Tillägget av en federation (till exempel med Facebook eller med en annan Azure AD organisation) påverkar inte slutanvändarens flöden omedelbart förrän identitetsprovidern läggs till som ett alternativ i ett användarflöde (kallas även en inbyggd princip). Ett exempel finns i Konfigurera ett Microsoft-konto som identitetsprovider . Om du vill ändra användarflöden krävs den begränsade rollen "B2C User Flow Administrator".
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/identityProviders/allProperties/allTasks | Läsa och konfigurera identitetsprovidrar i Azure Active Directory B2C |
Global administratör
Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure Active Directory, samt tjänster som använder Azure Active Directory identiteter som Microsoft 365 Defender portalen, efterlevnadsportal i Microsoft Purview, Exchange Online, SharePoint Online och Skype för företag Online. Dessutom kan globala administratörer höja sin åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper. På så sätt kan globala administratörer få fullständig åtkomst till alla Azure-resurser med respektive Azure AD klientorganisation. Den person som registrerar sig för Azure AD organisation blir global administratör. Det kan finnas fler än en global administratör på företaget. Globala administratörer kan återställa lösenordet för alla användare och alla andra administratörer.
Anteckning
Som bästa praxis rekommenderar Microsoft att du tilldelar rollen Global administratör till färre än fem personer i din organisation. Mer information finns i Metodtips för Azure AD roller.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Azure AD |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Hantera åtkomstgranskningar av alla granskningsbara resurser i Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Skapa och hantera administrativa enheter (inklusive medlemmar) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Azure AD |
| microsoft.directory/applications/allProperties/allTasks | Skapa och ta bort program och läsa och uppdatera alla egenskaper |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/users/authenticationMethods/create | Skapa autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/read | Läsa standardegenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Hantera alla aspekter av auktoriseringsprincipen |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Cloud App Security |
| microsoft.directory/connectors/create | Skapa anslutningsappar för programproxy |
| microsoft.directory/connectors/allProperties/read | Läsa alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/connectorGroups/create | Skapa anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/delete | Ta bort anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/allProperties/read | Läsa alla egenskaper för anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/allProperties/update | Uppdatera alla egenskaper för anslutningsgrupper för programproxy |
| microsoft.directory/contacts/allProperties/allTasks | Skapa och ta bort kontakter och läsa och uppdatera alla egenskaper |
| microsoft.directory/contracts/allProperties/allTasks | Skapa och ta bort partnerkontrakt och läsa och uppdatera alla egenskaper |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Skapa och hantera anpassade autentiseringstillägg |
| microsoft.directory/deletedItems/delete | Ta bort objekt permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems/restore | Återställa mjukt borttagna objekt till ursprungligt tillstånd |
| microsoft.directory/devices/allProperties/allTasks | Skapa och ta bort enheter och läsa och uppdatera alla egenskaper |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceManagementPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper |
| microsoft.directory/directoryRoles/allProperties/allTasks | Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Skapa och ta bort Azure AD rollmallar och läsa och uppdatera alla egenskaper |
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läsa och uppdatera alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/groups/allProperties/allTasks | Skapa och ta bort grupper och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupsAssignableToRoles/create | Skapa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/delete | Ta bort rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/restore | Återställa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Uppdatera rolltilldelningsbara grupper |
| microsoft.directory/groupSettings/allProperties/allTasks | Skapa och ta bort gruppinställningar och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Skapa och ta bort mallar för gruppinställningar och läsa och uppdatera alla egenskaper |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera hybridautentiseringsprincip i Azure AD |
| microsoft.directory/identityProtection/allProperties/allTasks | Skapa och ta bort alla resurser och läsa och uppdatera standardegenskaper i Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Skapa och ta bort loginTenantBranding och läs och uppdatera alla egenskaper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörigheter och läs och uppdatera alla egenskaper |
| microsoft.directory/organization/allProperties/allTasks | Läsa och uppdatera alla egenskaper för en organisation |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Azure AD |
| microsoft.directory/policies/allProperties/allTasks | Skapa och ta bort principer och läsa och uppdatera alla egenskaper |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Hantera alla egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks | Hantera alla aspekter av åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läsa alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läsa alla egenskaper för etableringsloggar |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läsa och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/serviceAction/activateService | Kan utföra åtgärden "aktivera tjänst" för en tjänst |
| microsoft.directory/serviceAction/disableDirectoryFeature | Kan utföra tjänståtgärden "inaktivera katalogfunktion" |
| microsoft.directory/serviceAction/enableDirectoryFeature | Kan utföra tjänståtgärden "Aktivera katalogfunktion" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan utföra åtgärden getAvailableExtentionProperties-tjänsten |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Skapa och ta bort tjänstens huvudnamn och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Bevilja medgivande för alla behörigheter till alla program |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Köpa och hantera prenumerationer och ta bort prenumerationer |
| microsoft.directory/users/allProperties/allTasks | Skapa och ta bort användare och läsa och uppdatera alla egenskaper |
| microsoft.directory/permissionGrantPolicies/create | Skapa principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/delete | Ta bort principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för beviljande av behörigheter |
| microsoft.directory/servicePrincipalCreationPolicies/create | Skapa principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Ta bort principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läsa ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Återkalla ett verifierbart autentiseringsuppgiftskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Skapa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Uppdatera ett verifierbart autentiseringskontrakt |
| microsoft.directory/verifiableCredentials/configuration/create | Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/delete | Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Uppdateringskonfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/lifecycleManagement/workflows/allProperties/allTasks | Hantera alla aspekter av arbetsflöden och uppgifter för livscykelhantering i Azure AD |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.commerce.billing/allEntities/allTasks | Hantera alla aspekter av Office 365 fakturering |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Hantera alla aspekter av Microsoft Power Automate |
| microsoft.insights/allEntities/allProperties/allTasks | Hantera alla aspekter av Insights app |
| microsoft.intune/allEntities/allTasks | Hantera alla aspekter av Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Hantera alla aspekter av Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Hantera alla aspekter av Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Läs analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Läsa och uppdatera alla egenskaper för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Hantera utbildningskällor och alla deras egenskaper i Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Hantera alla aspekter av Customer Lockbox |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läs säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Hantera alla aspekter av säkerhets- och efterlevnadscenter |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läs och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Office 365 Security & Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.userCommunication/allEntities/allTasks | Läsa och uppdatera synligheten för nya meddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Hantera alla aspekter av Yammer |
| microsoft.powerApps/allEntities/allTasks | Hantera alla aspekter av Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Hantera alla aspekter av Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Hantera alla resurser i Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Hantera och dela information om virtuella besök och mått från administrationscenter eller appen Virtuella besök |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Microsoft Defender för Endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Läsa och konfigurera alla aspekter av Windows Update Service |
Global läsare
Användare i den här rollen kan läsa inställningar och administrativ information i Microsoft 365 tjänster men kan inte vidta hanteringsåtgärder. Global läsare är den skrivskyddade motsvarigheten till Global administratör. Tilldela global läsare i stället för global administratör för planering, granskningar eller undersökningar. Använd Global läsare i kombination med andra begränsade administratörsroller som Exchange Administratör för att göra det enklare att få jobbet gjort utan att tilldela rollen Global administratör. Global Läsare fungerar med Administrationscenter för Microsoft 365, Exchange administrationscenter, SharePoint administrationscenter, Teams administrationscenter, Säkerhetscenter, Efterlevnadscenter, Azure AD administrationscenter och Enhetshantering administrationscenter.
Anteckning
Rollen Global läsare har några begränsningar just nu –
- OneDrive administrationscenter – OneDrive administrationscenter stöder inte rollen Global läsare
- Administrationscenter för Microsoft 365 – Global läsare kan inte läsa integrerade appar. Fliken Integrerade appar finns inte under Inställningar i den vänstra rutan i Administrationscenter för Microsoft 365.
- Office Security & Compliance Center – Global läsare kan inte läsa SCC-granskningsloggar, göra innehållssökningar eller se Säkerhetspoäng.
- Teams administrationscenter – Global läsare kan inte läsa Teams livscykel, analysrapporter&, hantering av IP-telefonenheter och appkatalog. Mer information finns i Använda Microsoft Teams administratörsroller för att hantera Teams.
- Privileged Access Management (PAM) stöder inte rollen Global läsare.
- Azure Information Protection – Global Läsare stöds endast för central rapportering och när din Azure AD organisation inte finns på den enhetliga etikettplattformen.
- SharePoint – Global läsare kan för närvarande inte komma åt SharePoint med hjälp av PowerShell.
- Administrationscenter för Power Platform – Global läsare stöds ännu inte i administrationscentret för Power Platform.
Dessa funktioner är under utveckling.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Inaktuell) Läsa alla egenskaper för åtkomstgranskningar |
| microsoft.directory/accessReviews/definitions/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Läs alla egenskaper för principer för begäran om administratörsmedgivande i Azure AD |
| microsoft.directory/administrativeUnits/allProperties/read | Läs alla egenskaper för administrativa enheter, inklusive medlemmar |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Azure AD |
| microsoft.directory/applications/allProperties/read | Läsa alla egenskaper (inklusive privilegierade egenskaper) för alla typer av program |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/cloudAppSecurity/allProperties/read | Läsa alla egenskaper för Cloud App Security |
| microsoft.directory/connectors/allProperties/read | Läsa alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/connectorGroups/allProperties/read | Läsa alla egenskaper för anslutningsgrupper för programproxy |
| microsoft.directory/contacts/allProperties/read | Läsa alla egenskaper för kontakter |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Läsa anpassade autentiseringstillägg |
| microsoft.directory/devices/allProperties/read | Läs alla enhetsegenskaper |
| microsoft.directory/directoryRoles/allProperties/read | Läsa alla egenskaper för katalogroller |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Läsa alla egenskaper för katalogrollmallar |
| microsoft.directory/domains/allProperties/read | Läsa alla egenskaper för domäner |
| microsoft.directory/entitlementManagement/allProperties/read | Läsa alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/groups/allProperties/read | Läs alla egenskaper (inklusive privilegierade egenskaper) för säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groupSettings/allProperties/read | Läsa alla egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/allProperties/read | Läsa alla egenskaper för gruppinställningsmallar |
| microsoft.directory/identityProtection/allProperties/read | Läsa alla resurser i Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Läsa alla egenskaper för organisationens varumärkesanpassade inloggningssida |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Läsa alla egenskaper för OAuth 2.0-behörighetstillslag |
| microsoft.directory/organization/allProperties/read | Läsa alla egenskaper för en organisation |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för principer för beviljande av behörigheter |
| microsoft.directory/policies/allProperties/read | Läs alla principegenskaper |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Läsa alla egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/crossTenantAccessPolicies/allProperties/read | Läsa alla egenskaper för åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läsa alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läsa alla egenskaper för etableringsloggar |
| microsoft.directory/roleAssignments/allProperties/read | Läsa alla egenskaper för rolltilldelningar |
| microsoft.directory/roleDefinitions/allProperties/read | Läsa alla egenskaper för rolldefinitioner |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Visa medlemmar i administrativa enheter |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan utföra åtgärden getAvailableExtentionProperties-tjänsten |
| microsoft.directory/servicePrincipals/allProperties/read | Läsa alla egenskaper (inklusive privilegierade egenskaper) i servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.directory/subscribedSkus/allProperties/read | Läs alla egenskaper för produktprenumerationer |
| microsoft.directory/users/allProperties/read | Läs alla egenskaper för användare |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läs ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/lifecycleManagement/workflows/allProperties/read | Läs alla egenskaper för arbetsflöden och uppgifter för livscykelhantering i Azure AD |
| microsoft.cloudPC/allEntities/allProperties/read | Läs alla aspekter av Windows 365 |
| microsoft.commerce.billing/allEntities/read | Läs alla resurser för Office 365 fakturering |
| microsoft.edge/allEntities/allProperties/read | Läs alla aspekter av Microsoft Edge |
| microsoft.insights/allEntities/allProperties/read | Läs alla aspekter av Viva Insights |
| microsoft.office365.exchange/allEntities/standard/read | Läs alla resurser i Exchange Online |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läs säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Läs alla egenskaper i säkerhets- och efterlevnadscenter |
| microsoft.office365.securityComplianceCenter/allEntities/read | Läs standardegenskaper i Microsoft 365 Säkerhets- och efterlevnadscenter |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Läs alla aspekter av Yammer |
| microsoft.teams/allEntities/allProperties/read | Läs alla egenskaper för Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Läs alla aspekter av virtuella besök |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Läs alla aspekter av Windows Update Service |
Gruppadministratör
Användare i den här rollen kan skapa/hantera grupper och dess inställningar som namngivnings- och förfalloprinciper. Det är viktigt att förstå att tilldela en användare till den här rollen ger dem möjlighet att hantera alla grupper i organisationen över olika arbetsbelastningar som Teams, SharePoint, Yammer utöver Outlook. Användaren kommer också att kunna hantera de olika gruppinställningarna i olika administratörsportaler som Microsofts administrationscenter, Azure Portal, samt arbetsbelastningsspecifika inställningar som Teams och SharePoint administrationscenter.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Ta bort grupper permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/restore | Återställa grupper från en mjuk borttagningscontainer |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Azure Active Directory grupper som ska skrivas tillbaka till lokala Azure AD Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Gäst inbjudare
Användare i den här rollen kan hantera Azure Active Directory B2B-gästanvändarinbjudningar när inställningen Medlemmar kan bjuda in användare är inställd på Nej. Mer information om B2B-samarbete finns i Om Azure AD B2B-samarbete. Den innehåller inte några andra behörigheter.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/standard/read | Läsa grundläggande egenskaper för användare |
| microsoft.directory/users/appRoleAssignments/read | Läsa programrolltilldelningar för användare |
| microsoft.directory/users/deviceForResourceAccount/read | Läsa deviceForResourceAccount för användare |
| microsoft.directory/users/directReports/read | Läs direktrapporterna för användare |
| microsoft.directory/users/licenseDetails/read | Läs licensinformation för användare |
| microsoft.directory/users/manager/read | Läsa användares chef |
| microsoft.directory/users/memberOf/read | Läs gruppmedlemskap för användare |
| microsoft.directory/users/oAuth2PermissionGrants/read | Läsa delegerade behörighetsbidrag för användare |
| microsoft.directory/users/ownedDevices/read | Läsa användares ägda enheter |
| microsoft.directory/users/ownedObjects/read | Läsa användares ägda objekt |
| microsoft.directory/users/photo/read | Läs foto av användare |
| microsoft.directory/users/registeredDevices/read | Läsa registrerade enheter för användare |
| microsoft.directory/users/scopedRoleMemberOf/read | Läs användarens medlemskap i en Azure AD roll, som är begränsad till en administrativ enhet |
Supportadministratör
Användare med den här rollen kan ändra lösenord, ogiltigförklara uppdateringstoken, skapa och hantera supportförfrågningar med Microsoft för Azure och Microsoft 365 tjänster och övervaka tjänstens hälsa. Om en uppdateringstoken ogiltigförklaras tvingar det användaren att logga in igen. Om en supportadministratör kan återställa en användares lösenord och ogiltigförklara uppdateringstoken beror på vilken roll användaren har tilldelats. En lista över de roller som en supportadministratör kan återställa lösenord för och ogiltigförklara uppdateringstoken finns i Behörigheter för lösenordsåterställning.
Viktigt
Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Azure Active Directory. Att ändra lösenordet för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Azure AD och någon annanstans som inte har beviljats supportadministratörer. Med den här sökvägen kan en supportadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupper och Microsoft 365 gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan bevilja åtkomst till känslig eller privat information eller kritisk konfiguration i Azure AD och någon annanstans.
- Administratörer i andra tjänster utanför Azure AD som Exchange Online, Office Säkerhets- och efterlevnadscenter och personalsystem.
- Icke-administratörer som chefer, juridiska rådgivare och personalpersonal som kan ha åtkomst till känslig eller privat information.
Användare med den här rollen kan inte ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
Du kan delegera administrativa behörigheter över delmängder av användare och tillämpa principer på en delmängd av användarna med Administrativa enheter.
Den här rollen kallades tidigare "Lösenordsadministratör" i Azure Portal. Namnet "Supportadministratör" i Azure AD matchar nu namnet i Azure AD PowerShell och Microsoft Graph API.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Hybrididentitetsadministratör
Användare i den här rollen kan skapa, hantera och distribuera konfigurationskonfiguration från AD till Azure AD med hjälp av molnetablering samt hantera Azure AD Anslut, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel Sign-On (sömlös SSO) och federationsinställningar. Användare kan också felsöka och övervaka loggar med hjälp av den här rollen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera programtaggar |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Läsa och konfigurera alla egenskaper för Azure AD Cloud Provisioning-tjänsten. |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/domains/allProperties/read | Läsa alla egenskaper för domäner |
| microsoft.directory/domains/federation/update | Uppdatera federationsegenskap för domäner |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera hybridautentiseringsprincip i Azure AD |
| microsoft.directory/organization/dirSync/update | Uppdatera synkroniseringsegenskapen för organisationskatalogen |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Azure AD |
| microsoft.directory/provisioningLogs/allProperties/read | Läsa alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera programetableringshemligheter och autentiseringsuppgifter |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och schema för programetablering |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Identitetsstyrningsadministratör
Användare med den här rollen kan hantera Azure AD konfiguration av identitetsstyrning, inklusive åtkomstpaket, åtkomstgranskningar, kataloger och principer, säkerställa att åtkomst godkänns och granskas och gästanvändare som inte längre behöver åtkomst tas bort.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Hantera åtkomstgranskningar av programrolltilldelningar i Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/create | Skapa åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/delete | Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läsa och uppdatera alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
Insights-administratör
Användare i den här rollen kan komma åt den fullständiga uppsättningen administrativa funktioner i Microsoft Viva Insights appen. Den här rollen har möjlighet att läsa kataloginformation, övervaka tjänstens hälsa, filsupportbegäranden och få åtkomst till Insights administratörsinställningar.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.insights/allEntities/allProperties/allTasks | Hantera alla aspekter av Insights app |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Insights analytiker
Tilldela rollen Insights analytiker till användare som behöver göra följande:
- Analysera data i Microsoft Viva Insights-appen, men kan inte hantera några konfigurationsinställningar
- Skapa, hantera och köra frågor
- Visa grundläggande inställningar och rapporter i Administrationscenter för Microsoft 365
- Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
| Åtgärder | Beskrivning |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Köra och hantera frågor i Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Insights Företagsledare
Användare i den här rollen kan komma åt en uppsättning instrumentpaneler och insikter via Microsoft Viva Insights-appen. Detta inkluderar fullständig åtkomst till alla instrumentpaneler och presenterade funktioner för insikter och datautforskning. Användare i den här rollen har inte åtkomst till produktkonfigurationsinställningar, vilket är ansvaret för rollen Insights administratör.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.insights/reports/allProperties/read | Visa rapporter och instrumentpaneler i Insights app |
| microsoft.insights/programs/allProperties/update | Distribuera och hantera program i Insights app |
Intune administratör
Användare med den här rollen har globala behörigheter inom Microsoft Intune Online när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper. Mer information finns i Rollbaserad administrationskontroll (RBAC) med Microsoft Intune.
Den här rollen kan skapa och hantera alla säkerhetsgrupper. Men Intune Administratör har inte administratörsbehörighet för Office grupper. Det innebär att administratören inte kan uppdatera ägare eller medlemskap i alla Office grupper i organisationen. Han/hon kan dock hantera den Office grupp som han skapar som en del av hans/hennes slutanvändarprivilegier. Därför bör alla Office grupper (inte säkerhetsgrupper) som han/hon skapar räknas mot sin kvot på 250.
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "Intune tjänstadministratör". Det är "Intune Administrator" i Azure Portal.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/devices/create | Skapa enheter (registrera i Azure AD) |
| microsoft.directory/devices/delete | Ta bort enheter från Azure AD |
| microsoft.directory/devices/disable | Inaktivera enheter i Azure AD |
| microsoft.directory/devices/enable | Aktivera enheter i Azure AD |
| microsoft.directory/devices/basic/update | Uppdatera grundläggande egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet1/update | Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet2/update | Uppdatera extensionAttribute6 till extensionAttribute10-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet3/update | Uppdatera extensionAttribute11 till extensionAttribute15-egenskaper på enheter |
| microsoft.directory/devices/registeredOwners/update | Uppdatera registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/update | Uppdatera registrerade användare av enheter |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.intune/allEntities/allTasks | Hantera alla aspekter av Microsoft Intune |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Kaizala administratör
Användare med den här rollen har globala behörigheter att hantera inställningar inom Microsoft Kaizala, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Dessutom kan användaren komma åt rapporter som rör användning & av Kaizala av organisationsmedlemmar och affärsrapporter som genereras med hjälp av Kaizala åtgärder.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Kunskapsadministratör
Användare i den här rollen har fullständig åtkomst till alla inställningar för kunskap, inlärning och intelligenta funktioner i Administrationscenter för Microsoft 365. De har en allmän förståelse för produktsviten, licensinformation och har ansvar för att kontrollera åtkomsten. Kunskapsadministratören kan skapa och hantera innehåll, till exempel ämnen, förkortningar och utbildningsresurser. Dessutom kan dessa användare skapa innehållscenter, övervaka tjänstens hälsa och skapa tjänstbegäranden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/createAsOwner | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare. |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Läsa och uppdatera alla egenskaper för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Hantera utbildningskällor och alla deras egenskaper i Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Läs alla egenskaper för känslighetsetiketter i säkerhets- och efterlevnadscenter |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Knowledge Manager
Användare i den här rollen kan skapa och hantera innehåll, till exempel ämnen, förkortningar och utbildningsinnehåll. Dessa användare ansvarar främst för kunskapens kvalitet och struktur. Den här användaren har fullständig behörighet till ämneshanteringsåtgärder för att bekräfta ett ämne, godkänna ändringar eller ta bort ett ämne. Den här rollen kan också hantera taxonomier som en del av termlagringshanteringsverktyget och skapa innehållscentra.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/createAsOwner | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare. |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Läs analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Licensadministratör
Användare i den här rollen kan lägga till, ta bort och uppdatera licenstilldelningar för användare, grupper (med gruppbaserad licensiering) och hantera användarnas användningsplats. Rollen ger inte möjlighet att köpa eller hantera prenumerationer, skapa eller hantera grupper eller skapa eller hantera användare utanför användningsplatsen. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/reprocessLicenseAssignment | Ombearbeta licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/reprocessLicenseAssignment | Ombearbeta licenstilldelningar för användare |
| microsoft.directory/users/usageLocation/update | Uppdatera användarnas användningsplats |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Sekretessläsare för Meddelandecenter
Användare i den här rollen kan övervaka alla meddelanden i Meddelandecenter, inklusive datasekretessmeddelanden. Sekretessläsare i Meddelandecenter får e-postaviseringar, inklusive sådana som rör datasekretess, och de kan avbryta prenumerationen med hjälp av Inställningar för meddelandecenter. Endast den globala administratören och meddelandecentrets sekretessläsare kan läsa datasekretessmeddelanden. Dessutom innehåller den här rollen möjligheten att visa grupper, domäner och prenumerationer. Den här rollen har inte behörighet att visa, skapa eller hantera tjänstbegäranden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Meddelandecenterläsare
Användare i den här rollen kan övervaka meddelanden och rådgivande hälsouppdateringar i Meddelandecenter för organisationen på konfigurerade tjänster som Exchange, Intune och Microsoft Teams. Meddelandecenterläsare får veckovisa e-postsammandrag av inlägg, uppdateringar och kan dela inlägg i meddelandecenter i Microsoft 365. I Azure AD har användare som tilldelats den här rollen endast skrivskyddad åtkomst till Azure AD tjänster som användare och grupper. Den här rollen har inte åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Modern Commerce-användare
Använd inte. Den här rollen tilldelas automatiskt från Commerce och är inte avsedd eller stöds inte för någon annan användning. Se informationen nedan.
Rollen Modern commerce-användare ger vissa användare behörighet att komma åt Administrationscenter för Microsoft 365 och se de vänstra navigeringsposterna för Start, Fakturering och Support. Innehållet som är tillgängligt i dessa områden styrs av handelsspecifika roller som tilldelas användare för att hantera produkter som de har köpt åt sig själva eller din organisation. Detta kan omfatta uppgifter som att betala fakturor eller för åtkomst till faktureringskonton och faktureringsprofiler.
Användare med rollen Modern Commerce-användare har vanligtvis administratörsbehörighet i andra Microsoft-inköpssystem, men har inte rollen Global administratör eller Faktureringsadministratör som används för att komma åt administrationscentret.
När tilldelas rollen modern handelsanvändare?
- Självbetjäningsköp i Administrationscenter för Microsoft 365 – Självbetjäningsköp ger användarna en chans att prova nya produkter genom att köpa eller registrera sig för dem på egen hand. Dessa produkter hanteras i administrationscentret. Användare som gör ett självbetjäningsköp tilldelas en roll i handelssystemet och rollen modern handelsanvändare så att de kan hantera sina inköp i administrationscentret. Administratörer kan blockera självbetjäningsköp (för Power BI, Power Apps, Power Automate) via PowerShell. Mer information finns i Vanliga frågor och svar om självbetjäningsköp.
- Köp från Microsofts kommersiella marknadsplats – På liknande sätt som vid självbetjäningsköp tilldelas rollen Modern Commerce-användare om användaren inte har rollen Global administratör eller Faktureringsadministratör när en användare köper en produkt eller tjänst från Microsoft AppSource eller Azure Marketplace. I vissa fall kan användare blockeras från att göra dessa inköp. Mer information finns i Microsofts kommersiella marknadsplats.
- Förslag från Microsoft – Ett förslag är ett formellt erbjudande från Microsoft för din organisation att köpa Microsofts produkter och tjänster. När personen som godkänner förslaget inte har rollen global administratör eller faktureringsadministratör i Azure AD tilldelas personen både en handelsspecifik roll för att slutföra förslaget och rollen Modern handelsanvändare för att få åtkomst till administrationscentret. När de får åtkomst till administrationscentret kan de bara använda funktioner som har auktoriserats av deras handelsspecifika roll.
- Handelsspecifika roller – Vissa användare tilldelas handelsspecifika roller. Om en användare inte är global administratör eller faktureringsadministratör får de rollen modern handelsanvändare så att de kan komma åt administrationscentret.
Om rollen Modern commerce-användare inte har tilldelats från en användare förlorar de åtkomst till Administrationscenter för Microsoft 365. Om de hanterade några produkter, antingen för sig själva eller för din organisation, kommer de inte att kunna hantera dem. Det kan till exempel handla om att tilldela licenser, ändra betalningsmetoder, betala fakturor eller andra uppgifter för att hantera prenumerationer.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.commerce.billing/partners/read | Läsa partneregenskapen för Microsoft 365-fakturering |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Hantera alla aspekter av Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/basic/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Nätverksadministratör
Användare i den här rollen kan granska rekommendationer för nätverksperimeterarkitektur från Microsoft som baseras på nätverkstelemetri från deras användarplatser. Nätverksprestanda för Microsoft 365 förlitar sig på noggrann perimeterarkitektur för företagskunders nätverk, vilket vanligtvis är användarplatsspecifikt. Den här rollen gör det möjligt att redigera identifierade användarplatser och konfiguration av nätverksparametrar för dessa platser för att underlätta förbättrade telemetrimätningar och designrekommendationer
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Hantera alla aspekter av nätverksplatser |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
administratör för Office-appar
Användare i den här rollen kan hantera molninställningar för Microsoft 365 appar. Detta omfattar hantering av molnprinciper, självbetjäningshantering för nedladdning och möjligheten att visa Office apprelaterade rapporter. Den här rollen ger dessutom möjlighet att hantera supportärenden och övervaka tjänstens hälsa i det huvudsakliga administrationscentret. Användare som har tilldelats den här rollen kan också hantera kommunikation med nya funktioner i Office appar.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.userCommunication/allEntities/allTasks | Läsa och uppdatera synligheten för nya meddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Support för partnernivå 1
Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Azure AD i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartner och är inte avsedd för allmän användning.
Viktigt
Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för endast icke-administratörer. Den här rollen bör inte användas eftersom den är inaktuell och den returneras inte längre i API:et.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera programägare |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/restore | Återställa grupper från en mjuk borttagningscontainer |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägga till användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Tvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Support för partnernivå 2
Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Azure AD i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartner och är inte avsedd för allmän användning.
Viktigt
Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för alla icke-administratörer och administratörer (inklusive globala administratörer). Den här rollen bör inte användas eftersom den är inaktuell och den kommer inte längre att returneras i API:et.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera programtaggar |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/restore | Återställa grupper från en mjuk borttagningscontainer |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörigheter och läs och uppdatera alla egenskaper |
| microsoft.directory/organization/basic/update | Uppdatera grundläggande egenskaper för organisationen |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läsa och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/subscribedSkus/standard/read | Läsa grundläggande egenskaper för prenumerationer |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägga till användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Lösenordsadministratör
Användare med den här rollen har begränsad möjlighet att hantera lösenord. Den här rollen ger inte möjlighet att hantera tjänstbegäranden eller övervaka tjänstens hälsa. Om en lösenordsadministratör kan återställa en användares lösenord beror på vilken roll användaren har tilldelats. En lista över de roller som en lösenordsadministratör kan återställa lösenord för finns i Behörigheter för lösenordsåterställning.
Användare med den här rollen kan inte ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Power BI-administratör
Användare med den här rollen har globala behörigheter inom Microsoft Power BI, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Förstå rollen Power BI administratör.
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "Power BI Tjänstadministratör". Det är "Power BI Administrator" i Azure Portal.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Hantera alla aspekter av Power BI |
Power Platform-administratör
Användare i den här rollen kan skapa och hantera alla aspekter av miljöer, Power Apps, flöden, principer för dataförlustskydd. Dessutom kan användare med den här rollen hantera supportärenden och övervaka tjänstens hälsa.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Hantera alla aspekter av Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Hantera alla aspekter av Power Apps |
Skrivaradministratör
Användare i den här rollen kan registrera skrivare och hantera alla aspekter av alla skrivarkonfigurationer i Microsoft Universal Print-lösningen, inklusive inställningarna för Anslutningsprogram för universell utskrift. De kan godkänna alla delegerade begäranden om utskriftsbehörighet. Skrivaradministratörer har också åtkomst till utskriftsrapporter.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Skapa och ta bort skrivare och anslutningsappar samt läsa och uppdatera alla egenskaper i Microsoft Print |
Skrivartekniker
Användare med den här rollen kan registrera skrivare och hantera skrivarstatus i Microsoft Universal Print-lösningen. De kan också läsa all anslutningsinformation. Nyckeluppgift som en skrivartekniker inte kan utföra är att ange användarbehörigheter för skrivare och dela skrivare.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Läsa alla egenskaper för anslutningsappar i Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Läsa alla egenskaper för skrivare i Microsoft Print |
| microsoft.azure.print/printers/register | Registrera skrivare i Microsoft Print |
| microsoft.azure.print/printers/unregister | Avregistrera skrivare i Microsoft Print |
| microsoft.azure.print/printers/basic/update | Uppdatera grundläggande egenskaper för skrivare i Microsoft Print |
Administratör för privilegierad autentisering
Användare med den här rollen kan ange eller återställa valfri autentiseringsmetod (inklusive lösenord) för alla användare, inklusive globala administratörer. Administratörer för privilegierad autentisering kan tvinga användare att registrera sig på nytt mot befintliga autentiseringsuppgifter som inte är lösenord (till exempel MFA eller FIDO) och återkalla "kom ihåg MFA på enheten", vilket uppmanar till MFA vid nästa inloggning för alla användare.
Rollen Autentiseringsadministratör har behörighet att framtvinga omregistrering och multifaktorautentisering för standardanvändare och användare med vissa administratörsroller.
Rollen Administratör för autentiseringsprincip har behörighet att ange klientens autentiseringsmetodprincip som avgör vilka metoder varje användare kan registrera och använda.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera princip för autentiseringsmetod | Hantera lösenordsskyddsprincip |
|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare (se ovan) | Ja för vissa användare (se ovan) | Inga | Nej | Inga |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Inga | Nej | Nej |
| Administratör för autentiseringsprincip | Nej | Nej | Ja | Ja | Ja |
Viktigt
Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Azure Active Directory. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Azure AD och någon annanstans som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare, som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupper och Microsoft 365 gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan bevilja åtkomst till känslig eller privat information eller kritisk konfiguration i Azure AD och någon annanstans.
- Administratörer i andra tjänster utanför Azure AD som Exchange Online, Office Säkerhets- och efterlevnadscenter och personalsystem.
- Icke-administratörer som chefer, juridiska rådgivare och personalpersonal som kan ha åtkomst till känslig eller privat information.
Viktigt
Den här rollen kan för närvarande inte hantera MFA per användare i den äldre MFA-hanteringsportalen. Samma funktioner kan utföras med hjälp av kommandoleten Set-MsolUser Azure AD PowerShell-modulen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Skapa autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/read | Läsa standardegenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för privilegierad roll
Användare med den här rollen kan hantera rolltilldelningar i Azure Active Directory, samt inom Azure AD Privileged Identity Management. De kan skapa och hantera grupper som kan tilldelas till Azure AD roller. Dessutom möjliggör den här rollen hantering av alla aspekter av Privileged Identity Management och administrativa enheter.
Viktigt
Den här rollen ger möjlighet att hantera tilldelningar för alla Azure AD roller, inklusive rollen Global administratör. Den här rollen innehåller inte några andra privilegierade funktioner i Azure AD som att skapa eller uppdatera användare. Användare som har tilldelats den här rollen kan dock bevilja sig själva eller andra ytterligare privilegier genom att tilldela ytterligare roller.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av programrolltilldelningar i Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Hantera åtkomstgranskningar för Azure AD rolltilldelningar |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Azure AD roller |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Skapa åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Azure AD roller |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Ta bort åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Azure AD roller |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Skapa och hantera administrativa enheter (inklusive medlemmar) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Hantera alla aspekter av auktoriseringsprincipen |
| microsoft.directory/directoryRoles/allProperties/allTasks | Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupsAssignableToRoles/create | Skapa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/delete | Ta bort rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/restore | Återställa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Uppdatera rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörigheter och läs och uppdatera alla egenskaper |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läsa och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Bevilja medgivande för alla behörigheter till alla program |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Rapportläsare
Användare med den här rollen kan visa användningsrapporteringsdata och instrumentpanelen för rapporter i Administrationscenter för Microsoft 365 och implementeringskontextpaketet i Power BI. Dessutom ger rollen åtkomst till inloggningsrapporter och aktivitet i Azure AD och data som returneras av Microsoft Graph rapporterings-API. En användare som har tilldelats rollen Rapportläsare kan bara komma åt relevanta användnings- och implementeringsmått. De har inte administratörsbehörighet för att konfigurera inställningar eller komma åt produktspecifika administrationscenter som Exchange. Den här rollen har inte åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Sökadministratör
Användare i den här rollen har fullständig åtkomst till alla Microsoft Search hanteringsfunktioner i Administrationscenter för Microsoft 365. Dessutom kan dessa användare visa meddelandecentret, övervaka tjänstens hälsa och skapa tjänstbegäranden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läs och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Sökredigeraren
Användare i den här rollen kan skapa, hantera och ta bort innehåll för Microsoft Search i Administrationscenter för Microsoft 365, inklusive bokmärken, Q&As och platser.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läs och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Säkerhetsadministratör
Användare med den här rollen har behörighet att hantera säkerhetsrelaterade funktioner i Microsoft 365 Defender-portalen, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection, och Office 365 Security & Compliance Center. Mer information om Office 365 behörigheter finns i Behörigheter i Security & Compliance Center.
| I | Kan göra |
|---|---|
| Microsoft 365 Säkerhetscenter | Övervaka säkerhetsrelaterade principer för Microsoft 365 tjänster Hantera säkerhetshot och aviseringar Visa rapporter |
| Identity Protection Center | Alla behörigheter för rollen Säkerhetsläsare Dessutom kan du utföra alla Identity Protection Center-åtgärder förutom att återställa lösenord |
| Privileged Identity Management | Alla behörigheter för rollen Säkerhetsläsare Det går inte att hantera Azure AD rolltilldelningar eller inställningar |
| Office 365 Säkerhet & Efterlevnadscenter | Hantera säkerhetsprinciper Visa, undersöka och svara på säkerhetshot Visa rapporter |
| Azure Advanced Threat Protection | Övervaka och svara på misstänkt säkerhetsaktivitet |
| Microsoft Defender för slutpunkter | Tilldela roller Hantera datorgrupper Konfigurera identifiering av slutpunktshot och automatiserad reparation Visa, undersöka och svara på aviseringar Visa datorer/enhetsinventering |
| Intune | Visar information om användare, enhet, registrering, konfiguration och program Det går inte att göra ändringar i Intune |
| Cloud App Security | Lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder |
| Microsoft 365 tjänstens hälsa | Visa hälsotillståndet för Microsoft 365 tjänster |
| Smart utlåsning | Definiera tröskelvärdet och varaktigheten för utelåsningar när misslyckade inloggningshändelser inträffar. |
| Lösenordsskydd | Konfigurera en anpassad lista över förbjudna lösenord eller lokalt lösenordsskydd. |
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/crossTenantAccessPolicies/create | Skapa åtkomstprinciper för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/delete | Ta bort åtkomstprinciper för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/standard/read | Läs grundläggande egenskaper för åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/owners/read | Läs ägare av åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read | Läs egenskapen policyAppliedTo för åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/owners/update | Uppdatera ägare av åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicies/tenantDefault/update | Uppdatera standardklientorganisationen för åtkomstprinciper mellan klientorganisationer |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/identityProtection/allProperties/read | Läsa alla resurser i Azure AD Identity Protection |
| microsoft.directory/identityProtection/allProperties/update | Uppdatera alla resurser i Azure AD Identity Protection |
| microsoft.directory/policies/create | Skapa principer i Azure AD |
| microsoft.directory/policies/delete | Ta bort principer i Azure AD |
| microsoft.directory/policies/basic/update | Uppdatera grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/update | Uppdatera ägare av principer |
| microsoft.directory/policies/tenantDefault/update | Uppdatera standardorganisationsprinciper |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läsa villkorlig åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägare av principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/owners/update | Uppdatera ägare för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Uppdatera standardklientorganisationen för principer för villkorlig åtkomst |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.protectionCenter/allEntities/standard/read | Läs standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/allEntities/basic/update | Uppdatera grundläggande egenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om angreppssimuleringssvar och tillhörande utbildning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Skapa och hantera mallar för attacksimulering i attacksimulatorn |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Säkerhetsoperatör
Användare med den här rollen kan hantera aviseringar och ha global skrivskyddad åtkomst till säkerhetsrelaterade funktioner, inklusive all information i Microsoft 365 Säkerhetscenter, Azure Active Directory, Identity Protection, Privileged Identity Management och Office 365 Säkerhet & Efterlevnadscenter. Mer information om Office 365 behörigheter finns i Behörigheter i Security & Compliance Center.
| I | Kan göra |
|---|---|
| Microsoft 365 Säkerhetscenter | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på aviseringar om säkerhetshot Hantera säkerhetsinställningar i Security Center |
| Azure AD Identity Protection | Alla behörigheter för rollen Säkerhetsläsare Dessutom kan du utföra alla Identity Protection Center-åtgärder förutom att återställa lösenord och konfigurera e-postaviseringar. |
| Privileged Identity Management | Alla behörigheter för rollen Säkerhetsläsare |
| Office 365 Säkerhet & Efterlevnadscenter | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på säkerhetsaviseringar |
| Microsoft Defender för slutpunkter | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på säkerhetsaviseringar |
| Intune | Alla behörigheter för rollen Säkerhetsläsare |
| Cloud App Security | Alla behörigheter för rollen Säkerhetsläsare |
| Microsoft 365 tjänstens hälsa | Visa hälsotillståndet för Microsoft 365 tjänster |
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Cloud App Security |
| microsoft.directory/identityProtection/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Azure AD Identity Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läsa alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.intune/allEntities/read | Läsa alla resurser i Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Skapa och ta bort alla resurser och läsa och uppdatera standardegenskaper i Office 365 Security & Compliance Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Microsoft Defender för Endpoint |
Säkerhetsläsare
Användare med den här rollen har global skrivskyddad åtkomst till säkerhetsrelaterad funktion, inklusive all information i Microsoft 365 Säkerhetscenter, Azure Active Directory, Identity Protection, Privileged Identity Management samt möjlighet att läsa Azure Active Directory inloggningsrapporter och granskningsloggar samt i Office 365 Security & Compliance Center. Mer information om Office 365 behörigheter finns i Behörigheter i Säkerhets & efterlevnadscenter.
| I | Kan göra |
|---|---|
| Microsoft 365 Säkerhetscenter | Visa säkerhetsrelaterade principer för Microsoft 365 tjänster Visa säkerhetshot och aviseringar Visa rapporter |
| Identity Protection Center | Läs alla säkerhetsrapporter och inställningar för säkerhetsfunktioner
|
| Privileged Identity Management | Har skrivskyddad åtkomst till all information som visas i Azure AD Privileged Identity Management: Principer och rapporter för Azure AD rolltilldelningar och säkerhetsgranskningar. Det går inte att registrera sig för Azure AD Privileged Identity Management eller göra några ändringar i den. I Privileged Identity Management-portalen eller via PowerShell kan någon i den här rollen aktivera ytterligare roller (till exempel global administratör eller privilegierad rolladministratör) om användaren är berättigad till dem. |
| Office 365 Säkerhet & Efterlevnadscenter | Visa säkerhetsprinciper Visa och undersöka säkerhetshot Visa rapporter |
| Microsoft Defender för slutpunkter | Visa och undersöka aviseringar. När du aktiverar rollbaserad åtkomstkontroll i Microsoft Defender för Endpoint förlorar användare med skrivskyddade behörigheter, till exempel rollen Azure AD säkerhetsläsare, åtkomst tills de har tilldelats en Microsoft Defender för Endpoint roll. |
| Intune | Visar information om användare, enhet, registrering, konfiguration och programmet. Kan inte göra ändringar i Intune. |
| Cloud App Security | Har läsbehörighet och kan hantera aviseringar |
| Microsoft 365 tjänstens hälsa | Visa hälsotillståndet för Microsoft 365-tjänster |
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Azure AD |
| microsoft.directory/auditLogs/allProperties/read | Läsa alla egenskaper i granskningsloggar, inklusive privilegierade egenskaper |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och -nyckel på enheter |
| microsoft.directory/entitlementManagement/allProperties/read | Läsa alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/identityProtection/allProperties/read | Läsa alla resurser i Azure AD Identity Protection |
| microsoft.directory/policies/standard/read | Läsa grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/read | Läsa ägare av principer |
| microsoft.directory/policies/policyAppliedTo/read | Läs egenskapen policies.policyAppliedTo |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läsa villkorlig åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägare av principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorlig åtkomst |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läsa alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läsa alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.protectionCenter/allEntities/standard/read | Läs standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Läs alla egenskaper för attacknyttolaster i attacksimulatorn |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om svar från attacksimulering och tillhörande träning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Läs alla egenskaper för mallar för attacksimulering i attacksimulatorn |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Tjänstsupportadministratör
Användare med den här rollen kan skapa och hantera supportförfrågningar med Microsoft för Azure och Microsoft 365 tjänster och visa instrumentpanelen och meddelandecentret för tjänsten i Azure Portal och Administrationscenter för Microsoft 365. Mer information finns i Om administratörsroller.
Anteckning
Tidigare kallades den här rollen "Tjänstadministratör" i Azure Portal och Administrationscenter för Microsoft 365. Vi har bytt namn till "Tjänstsupportadministratör" så att det överensstämmer med det befintliga namnet i Microsoft Graph API och Azure AD PowerShell.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
SharePoint administratör
Användare med den här rollen har globala behörigheter inom Microsoft Office SharePoint Online, när tjänsten finns, samt möjligheten att skapa och hantera alla Microsoft 365 grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Om administratörsroller.
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "SharePoint tjänstadministratör". Det är "SharePoint Administratör" i Azure Portal.
Anteckning
Den här rollen ger även begränsade behörigheter till Microsoft Graph API för Microsoft Intune, vilket gör det möjligt att hantera och konfigurera principer som rör SharePoint och OneDrive resurser.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/groups.unified/create | Skapa Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365 grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Skype för företag administratör
Användare med den här rollen har globala behörigheter inom Microsoft Skype för företag, när tjänsten finns, samt hanterar Skype specifika användarattribut i Azure Active Directory. Dessutom ger den här rollen möjlighet att hantera supportärenden och övervaka tjänstens hälsa samt få åtkomst till Teams och Skype för företag administrationscenter. Kontot måste också vara licensierat för Teams eller så kan det inte köras Teams PowerShell-cmdletar. Mer information finns i Om Skype för företag administratörsroll och Teams licensieringsinformation på Skype för företag och Microsoft Teams tilläggslicensiering
Anteckning
I Microsoft Graph API och Azure AD PowerShell identifieras den här rollen som "Lync-tjänstadministratör". Det är "Skype för företag Administrator" i Azure Portal.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Teams administratör
Användare i den här rollen kan hantera alla aspekter av Microsoft Teams arbetsbelastning via Microsoft Teams Skype för företag & administrationscenter och respektive PowerShell-moduler. Detta omfattar bland annat alla hanteringsverktyg som rör telefoni, meddelanden, möten och teamen själva. Den här rollen ger dessutom möjlighet att skapa och hantera alla Microsoft 365 grupper, hantera supportärenden och övervaka tjänstens hälsa.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365 grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Hantera alla resurser i Teams |
Teams Kommunikationsadministratör
Användare i den här rollen kan hantera aspekter av Microsoft Teams arbetsbelastning som rör rösttelefoni&. Detta inkluderar hanteringsverktygen för telefonnummertilldelning, röst- och mötesprinciper och fullständig åtkomst till verktygsuppsättningen för samtalsanalys.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Läs alla data på instrumentpanelen för samtalskvalitet (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Hantera möten, inklusive mötesprinciper, konfigurationer och konferensbroar |
| microsoft.teams/voice/allProperties/allTasks | Hantera röst inklusive samtalsprinciper och telefonnummerinventering och tilldelning |
supporttekniker för Teams kommunikation
Användare i den här rollen kan felsöka kommunikationsproblem inom Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i Microsoft Teams Skype för företag & administrationscenter. Användare i den här rollen kan visa fullständig samtalspostinformation för alla inblandade deltagare. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Läs alla data på instrumentpanelen för samtalskvalitet (CQD) |
Teams Support specialist på kommunikation
Användare i den här rollen kan felsöka kommunikationsproblem inom Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i Microsoft Teams Skype för företag & administrationscenter. Användare i den här rollen kan bara visa användarinformation i anropet för den specifika användare som de har letat upp. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Läsa grundläggande data i instrumentpanelen för samtalskvalitet (CQD) |
Teams-enhetsadministratör
Användare med den här rollen kan hantera Teams-certifierade enheter från Teams administrationscenter. Med den här rollen kan du visa alla enheter med enkel överblick, med möjlighet att söka efter och filtrera enheter. Användaren kan kontrollera information om varje enhet, inklusive loggat konto, märke och modell för enheten. Användaren kan ändra inställningarna på enheten och uppdatera programvaruversionerna. Den här rollen ger inte behörighet att kontrollera Teams aktivitet och anropskvalitet för enheten.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/devices/standard/read | Hantera alla aspekter av Teams-certifierade enheter, inklusive konfigurationsprinciper |
Läsare av användningssammanfattningsrapporter
Användare med den här rollen kan komma åt aggregerade data på klientnivå och tillhörande insikter i Administrationscenter för Microsoft 365 för användnings- och produktivitetspoäng, men kan inte komma åt information eller insikter på användarnivå. I Administrationscenter för Microsoft 365 för de två rapporterna skiljer vi mellan aggregerade data på klientnivå och information på användarnivå. Den här rollen ger ett extra skyddslager för enskilda användar identifierbara data, vilket begärdes av både kunder och juridiska team.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Läsa aggregerade Office 365 användningsrapporter på klientnivå |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Användaradministratör
Användare med den här rollen kan skapa användare och hantera alla aspekter av användare med vissa begränsningar (se tabellen) och uppdatera lösenordsförfalloprinciper. Dessutom kan användare med den här rollen skapa och hantera alla grupper. Den här rollen omfattar även möjligheten att skapa och hantera användarvyer, hantera supportärenden och övervaka tjänstens hälsa. Användaradministratörer har inte behörighet att hantera vissa användaregenskaper för användare i de flesta administratörsroller. Administratörer med den här rollen har inte behörighet att hantera MFA eller hantera delade postlådor. De roller som är undantag från den här begränsningen visas i följande tabell.
| Användaradministratörsbehörighet | Kommentarer |
|---|---|
| Skapa användare och grupper Skapa och hantera användarvyer Hantera Office supportärenden Uppdatera förfalloprinciper för lösenord |
|
| Hantera licenser Hantera alla användaregenskaper utom användarens huvudnamn |
Gäller för alla användare, inklusive alla administratörer |
| Ta bort och återställa Inaktivera och aktivera Hantera alla användaregenskaper, inklusive användarens huvudnamn Uppdatera enhetsnycklar (FIDO) |
Gäller för användare som inte är administratörer eller i någon av följande roller:
|
| Ogiltigförklara uppdateringstoken Återställa lösenord |
En lista över de roller som en användaradministratör kan återställa lösenord för och ogiltigförklara uppdateringstoken finns i Behörigheter för lösenordsåterställning. |
Viktigt
Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Azure Active Directory. Om du ändrar lösenordet för en användare kan det innebära möjligheten att anta att användarens identitet och behörigheter. Exempel:
- Programregistrerings- och företagsprogramägare som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Azure AD och på andra platser som inte beviljas användaradministratörer. Genom den här sökvägen kan en användaradministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupp och Microsoft 365 gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Azure AD och någon annanstans.
- Administratörer i andra tjänster utanför Azure AD som Exchange Online, Office Security and Compliance Center och personalsystem.
- Icke-administratörer som chefer, juridiska rådgivare och personalpersonal som kan ha åtkomst till känslig eller privat information.
Användare med den här rollen kan inte ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Hantera åtkomstgranskningar av programrolltilldelningar i Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för Azure AD rolltilldelningar |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/create | Skapa åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/delete | Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Azure AD berättigandehantering |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365 grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/restore | Återställa grupper från en mjuk borttagningscontainer |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Azure Active Directory grupper som ska skrivas tillbaka till lokala Azure AD Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365 grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörigheter och läs och uppdatera alla egenskaper |
| microsoft.directory/policies/standard/read | Läsa grundläggande egenskaper för principer |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägga till användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/reprocessLicenseAssignment | Ombearbeta licenstilldelningar för användare |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för virtuella besök
Användare med den här rollen kan utföra följande uppgifter:
- Hantera och konfigurera alla aspekter av virtuella besök i Bookings i Administrationscenter för Microsoft 365 och i Teams EHR-anslutningsprogrammet
- Visa användningsrapporter för virtuella besök i Teams administrationscenter, Administrationscenter för Microsoft 365 och PowerBI
- Visa funktioner och inställningar i Administrationscenter för Microsoft 365, men kan inte redigera några inställningar
Virtuella besök är ett enkelt sätt att schemalägga och hantera online- och videomöten för personal och deltagare. Användningsrapportering kan till exempel visa hur sändning av SMS sms före avtalade tider kan minska antalet personer som inte visas för avtalade tider.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Hantera och dela information om virtuella besök och mått från administrationscenter eller appen Virtuella besök |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Windows 365-administratör
Användare med den här rollen har globala behörigheter för Windows 365 resurser när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper.
Den här rollen kan skapa och hantera säkerhetsgrupper, men har inte administratörsbehörighet över Microsoft 365 grupper. Det innebär att administratörer inte kan uppdatera ägare eller medlemskap i Microsoft 365 grupper i organisationen. De kan dock hantera Microsoft 365 grupp som de skapar, vilket är en del av deras slutanvändares behörigheter. Därför räknas alla Microsoft 365 grupper (inte säkerhetsgrupper) som de skapar mot sin kvot på 250.
Tilldela rollen Windows 365-administratör till användare som behöver utföra följande uppgifter:
- Hantera Windows 365 molndatorer i Microsoft Endpoint Manager
- Registrera och hantera enheter i Azure AD, inklusive tilldelning av användare och principer
- Skapa och hantera säkerhetsgrupper, men inte rolltilldelningsbara grupper
- Visa grundläggande egenskaper i Administrationscenter för Microsoft 365
- Läsa användningsrapporter i Administrationscenter för Microsoft 365
- Skapa och hantera supportbegäranden i Azure AD och Administrationscenter för Microsoft 365
| Åtgärder | Beskrivning |
|---|---|
| microsoft.directory/devices/create | Skapa enheter (registrera i Azure AD) |
| microsoft.directory/devices/delete | Ta bort enheter från Azure AD |
| microsoft.directory/devices/disable | Inaktivera enheter i Azure AD |
| microsoft.directory/devices/enable | Aktivera enheter i Azure AD |
| microsoft.directory/devices/basic/update | Uppdatera grundläggande egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet1/update | Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet2/update | Uppdatera extensionAttribute6 till extensionAttribute10-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet3/update | Uppdatera extensionAttribute11 till extensionAttribute15-egenskaper på enheter |
| microsoft.directory/devices/registeredOwners/update | Uppdatera registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/update | Uppdatera registrerade användare av enheter |
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för principer för enhetshanteringsprogram |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure Support biljetter |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365 tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs Office 365 användningsrapporter |
| microsoft.office365.webPortal/allEntities/standard/read | Läs grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Windows Update distributionsadministratör
Användare i den här rollen kan skapa och hantera alla aspekter av Windows Update distributioner via distributionstjänsten Windows Update för företag. Distributionstjänsten gör det möjligt för användare att definiera inställningar för när och hur uppdateringar distribueras och ange vilka uppdateringar som erbjuds till grupper av enheter i klientorganisationen. Det gör det också möjligt för användare att övervaka uppdateringsstatusen.
| Åtgärder | Beskrivning |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Läsa och konfigurera alla aspekter av Windows Update Service |
Förstå rollbehörigheter
Schemat för behörigheter följer löst REST-formatet för Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Exempel:
microsoft.directory/applications/credentials/update
| Behörighetselement | Beskrivning |
|---|---|
| namnområde | Produkt eller tjänst som exponerar uppgiften och förbereds med microsoft. Till exempel använder microsoft.directory alla aktiviteter i Azure AD namnområdet. |
| Enhet | Logisk funktion eller komponent som exponeras av tjänsten i Microsoft Graph. Till exempel Azure AD exponerar användare och grupper, OneNote exponerar anteckningar och Exchange exponerar postlådor och kalendrar. Det finns ett särskilt allEntities nyckelord för att ange alla entiteter i ett namnområde. Detta används ofta i roller som ger åtkomst till en hel produkt. |
| propertySet | Specifika egenskaper eller aspekter av entiteten som åtkomst beviljas för. Till exempel microsoft.directory/applications/authentication/read kan du läsa svars-URL, utloggnings-URL och implicit flödesegenskap för programobjektet i Azure AD.
|
| åtgärd | Åtgärd som beviljas, oftast skapa, läsa, uppdatera eller ta bort (CRUD). Det finns ett särskilt allTasks nyckelord för att ange alla ovanstående funktioner (skapa, läsa, uppdatera och ta bort). |
Inaktuella roller
Följande roller bör inte användas. De har blivit inaktuella och kommer att tas bort från Azure AD i framtiden.
- AdHoc-licensadministratör
- Enhetsanslutning
- Enhetshanterare
- Enhetsanvändare
- E-post verifierad användarskapare
- Postlådeadministratör
- Anslut till arbetsplatsenhet
Roller som inte visas i portalen
Alla roller som returneras av PowerShell eller MS Graph API visas inte i Azure Portal. I följande tabell ordnas dessa skillnader.
| API-namn | Azure Portal namn | Kommentarer |
|---|---|---|
| Enhetsanslutning | Inaktuell | Dokumentation om inaktuella roller |
| Enhetshanterare | Inaktuell | Dokumentation om inaktuella roller |
| Enhetsanvändare | Inaktuell | Dokumentation om inaktuella roller |
| Katalogsynkroniseringskonton | Visas inte eftersom den inte ska användas | Dokumentation om katalogsynkroniseringskonton |
| Gästanvändare | Visas inte eftersom den inte kan användas | NA |
| Support för partnernivå 1 | Visas inte eftersom den inte ska användas | Supportdokumentation för partnernivå 1 |
| Support för partnernivå 2 | Visas inte eftersom den inte ska användas | Supportdokumentation för Partnernivå 2 |
| Begränsad gästanvändare | Visas inte eftersom den inte kan användas | NA |
| Användare | Visas inte eftersom den inte kan användas | NA |
| Anslut till arbetsplatsenhet | Inaktuell | Dokumentation om inaktuella roller |
Behörigheter för lösenordsåterställning
Kolumnrubriker representerar de roller som kan återställa lösenord. Tabellrader innehåller de roller som deras lösenord kan återställas för.
Följande tabell är för roller som tilldelats i omfånget för en klientorganisation. För roller som tilldelats inom en administrativ enhet gäller ytterligare begränsningar.
| Lösenordet kan återställas | Lösenord Admin | Supportavdelningen Admin | Autentisering Admin | Användare Admin | Privilegierad autentisering Admin | Global administratör |
|---|---|---|---|---|---|---|
| Autentisering Admin | ✔️ | ✔️ | ✔️ | |||
| Katalogläsare | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Global administratör | ✔️ | ✔️* | ||||
| Grupper Admin | ✔️ | ✔️ | ✔️ | |||
| Gäst inbjudare | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Supportavdelningen Admin | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Meddelandecenterläsare | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Lösenord Admin | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Privilegierad autentisering Admin | ✔️ | ✔️ | ||||
| Privilegierad roll Admin | ✔️ | ✔️ | ||||
| Rapportläsare | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Användare (ingen administratörsroll) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Användare (ingen administratörsroll, men medlem eller ägare av en rolltilldelningsbar grupp) |
✔️ | ✔️ | ||||
| Användare Admin | ✔️ | ✔️ | ✔️ | |||
| Läsare av användningssammanfattningsrapporter | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
* En global administratör kan inte ta bort sin egen tilldelning av global administratör. Detta för att förhindra en situation där en organisation har 0 globala administratörer.