Předdefinované role Azure AD
Pokud v Azure Active Directory (Azure AD) potřebuje Azure AD prostředky spravovat jiný správce nebo nesprávce, přiřadíte mu Azure AD roli, která poskytuje potřebná oprávnění. Můžete například přiřadit role umožňující přidávání nebo změnu uživatelů, resetování uživatelských hesel, správu uživatelských licencí nebo správu názvů domén.
Tento článek obsahuje seznam Azure AD předdefinovaných rolí, které můžete přiřadit, abyste umožnili správu Azure AD prostředků. Informace o přiřazování rolí najdete v tématu Přiřazování rolí Azure AD uživatelům. Pokud hledáte role pro správu prostředků Azure, přečtěte si téma Předdefinované role Azure.
Všechny role
| Role | Popis | ID šablony |
|---|---|---|
| Správce aplikace | Může vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Vývojář aplikace | Může vytvářet registrace aplikací nezávisle na nastavení Uživatelé můžou registrovat aplikace. | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autor datové části útoku | Může vytvořit datové části útoku, které může správce zahájit později. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Správce simulace útoku | Může vytvářet a spravovat všechny aspekty kampaní simulace útoku. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Správce přiřazení atributů | Přiřaďte k podporovaným objektům Azure AD vlastní klíče a hodnoty atributů zabezpečení. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Čtenář přiřazení atributů | Přečtěte si vlastní klíče a hodnoty atributů zabezpečení pro podporované objekty Azure AD. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Správce definic atributů | Definujte a spravujte definici vlastních atributů zabezpečení. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Čtečka definic atributů | Přečtěte si definici vlastních atributů zabezpečení. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Správce ověřování | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro uživatele bez oprávnění správce. | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Správce zásad ověřování | Může vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci celého tenanta, zásady ochrany heslem a ověřitelné přihlašovací údaje. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure AD připojený správce místního zařízení | Uživatelé přiřazení k této roli se přidají do místní skupiny administrators na zařízeních připojených k Azure AD. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Správce Azure DevOps | Může spravovat zásady a nastavení Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Správce azure Information Protection | Může spravovat všechny aspekty produktu Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Správce sady klíčů B2C IEF | Může spravovat tajné kódy pro federaci a šifrování v rozhraní IEF (Identity Experience Framework). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Správce zásad IEF B2C | Může vytvářet a spravovat zásady architektury důvěryhodnosti v architektuře prostředí identit (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Správce fakturace | Může provádět běžné úlohy související s fakturací, jako je aktualizace platebních údajů. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| správce Cloud App Security | Může spravovat všechny aspekty produktu Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Správce cloudové aplikace | Může vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací kromě proxy aplikací. | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| Správce cloudových zařízení | Omezený přístup ke správě zařízení v Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Správce dodržování předpisů | Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Azure AD a Microsoftu 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Správce dat dodržování předpisů | Vytvoří a spravuje obsah dodržování předpisů. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Správce podmíněného přístupu | Může spravovat funkce podmíněného přístupu. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Schvalovatel přístupu Customer LockBox | Může schvalovat žádosti o podporu Microsoftu pro přístup k datům organizace zákazníků. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| správce Desktop Analytics | Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Čtenáři adresářů | Může číst základní informace o adresáři. Běžně se používá k udělení přístupu pro čtení z adresáře pro aplikace a hosty. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Účty synchronizace adresářů | Používá se jenom služba Azure AD Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Zapisovače adresářů | Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Správce názvů domén | Může spravovat názvy domén v cloudu a místně. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| správce Dynamics 365 | Dokáže spravovat všechny aspekty Dynamics 365 produktu. | 44367163-eba1-44c3-98af-f5787879f96a |
| Správce Edge | Spravujte všechny aspekty Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Správce Exchange | Může spravovat všechny aspekty produktu Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Správce příjemce exchange | Může vytvářet nebo aktualizovat příjemce Exchange Online v organizaci Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Správce toku uživatelů externího ID | Může vytvářet a spravovat všechny aspekty toků uživatelů. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Správce atributů toku uživatele externího ID | Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Správce externího zprostředkovatele identity | Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Globální správce | Může spravovat všechny aspekty Azure AD a služeb Microsoftu, které používají Azure AD identity. | 62e90394-69f5-4237-9190-012177145e10 |
| Globální čtenář | Může číst všechno, co může globální správce, ale nic neaktualizovat. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Správce skupin | Členové této role můžou vytvářet a spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazit aktivity skupin a sestavy auditu. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Pozvaný host | Může pozvat uživatele typu host nezávisle na nastavení členové můžou pozvat hosty. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Správce helpdesku | Může resetovat hesla pro uživatele bez oprávnění správce a správce helpdesku. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Správce hybridních identit | Může spravovat službu AD pro Azure AD zřizování cloudu, Azure AD Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Správce zásad správného řízení identit | Správa přístupu pomocí Azure AD pro scénáře zásad správného řízení identit | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Správce přehledů | Má přístup pro správu v aplikaci Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analytik přehledů | Přístup k analytickým funkcím v Microsoft Viva Insights a spouštění vlastních dotazů | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Může zobrazovat a sdílet řídicí panely a přehledy prostřednictvím aplikace Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Správce Intune | Dokáže spravovat všechny aspekty Intune produktu. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Správce Kaizala | Může spravovat nastavení pro Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Správce znalostí | Může konfigurovat znalosti, učení a další inteligentní funkce. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Knowledge Manager | Může organizovat, vytvářet, spravovat a propagovat témata a znalosti. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Správce licencí | Může spravovat licence na produkty pro uživatele a skupiny. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Správce pracovních postupů životního cyklu | Vytvářejte a spravujte všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Azure AD. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Čtečka ochrany osobních údajů v Centru zpráv | Může číst jenom zprávy a aktualizace zabezpečení v centru zpráv Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Čtečka Centra zpráv | Může číst zprávy a aktualizace pro svoji organizaci jenom v centru zpráv Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Správce záruky na hardware Společnosti Microsoft | Vytvářejte a spravujte všechny aspekty nároků a nároků na záruky pro hardware vyrobený Microsoftem, jako je Surface a HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Specialista na záruku na hardware od Microsoftu | Vytvářejte a přečtěte si žádosti o záruku pro hardware vyrobený Microsoftem, jako je Surface a HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Moderní komerční uživatel | Může spravovat komerční nákupy pro společnost, oddělení nebo tým. | d24aef57-1500-4070-84db-2666f29cf966 |
| Správce sítě | Může spravovat síťová umístění a kontrolovat přehledy návrhu podnikové sítě pro aplikace Microsoft 365 Software jako služba. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Správce aplikací Office | Může spravovat cloudové služby aplikací Office, včetně správy zásad a nastavení, a spravovat možnost vybrat, zrušit výběr a publikovat obsah funkcí "co je nového" na zařízeních koncových uživatelů. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Zapisovač organizačních zpráv | Pište, publikujte, spravujte a kontrolujte zprávy organizace pro koncové uživatele prostřednictvím produktů Microsoftu. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Podpora partnerské vrstvy 1 | Nepoužívejte – není určeno pro obecné použití. | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Podpora partnerské vrstvy 2 | Nepoužívejte – není určeno pro obecné použití. | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Správce hesel | Může resetovat hesla pro uživatele, kteří nejsou správci a správci hesel. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Správce správy oprávnění | Správa všech aspektů správy oprávnění Entra | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Správce Power BI | Dokáže spravovat všechny aspekty produktu Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Správce Power Platform | Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, Power Apps a Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Správce tiskárny | Dokáže spravovat všechny aspekty tiskáren a konektorů tiskáren. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Technik tiskárny | Může zaregistrovat a zrušit registraci tiskáren a aktualizovat stav tiskárny. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Správce privilegovaného ověřování | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo nesprávce). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Správce privilegovaných rolí | Může spravovat přiřazení rolí v Azure AD a všechny aspekty Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Čtenář sestav | Může číst sestavy přihlášení a auditu. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Správce vyhledávání | Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor vyhledávání | Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, plán podlaží. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Správce zabezpečení | Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Azure AD a Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operátor zabezpečení | Vytváří a spravuje události zabezpečení. | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Čtenář zabezpečení | Může číst informace o zabezpečení a sestavy v Azure AD a Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Správce podpory služeb | Může číst informace o stavu služby a spravovat lístky podpory. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Správce SharePointu | Může spravovat všechny aspekty služby SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| správce Skype pro firmy | Může spravovat všechny aspekty Skype pro firmy produktu. | 75941009-915a-4869-abe7-691bff18279e |
| Správce Teams | Může spravovat službu Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Správce komunikace v Teams | Může spravovat funkce volání a schůzek v rámci služby Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Technik podpory komunikace v Teams | Dokáže řešit problémy s komunikací v teams pomocí pokročilých nástrojů. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Specialista podpory komunikace v Teams | Dokáže řešit problémy s komunikací v teams pomocí základních nástrojů. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Správce zařízení Teams | Může provádět úlohy související se správou na zařízeních certifikovaných v Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Tvůrce tenanta | Vytvořte nové tenanty Azure AD nebo Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Čtenář souhrnných sestav využití | Může zobrazit pouze agregace na úrovni tenanta v Analýze využití a skóre produktivity Microsoftu 365. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Správce virtuálních návštěv | Spravujte a sdílejte informace o virtuálních návštěvách a metriky z center pro správu nebo z aplikace Virtuální návštěvy. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| správce Viva Goals | Umožňuje spravovat a konfigurovat všechny aspekty Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| správce Windows 365 | Může zřizovat a spravovat všechny aspekty cloudových počítačů. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| správce nasazení služba Windows Update | Může vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update for Business. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Správce Yammeru | Spravujte všechny aspekty služby Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Správce aplikace
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikací, s výjimkou oprávnění aplikací pro Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikací pro jiné aplikace (například aplikace od jiných společností než Microsoft nebo aplikace, které jste zaregistrovali). O tato oprávnění můžete i nadále požádat v rámci registrace aplikace, ale udělení (tj. souhlas s) těchto oprávnění vyžaduje privilegovaného správce, například globálního správce.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé s touto rolí můžou do aplikace přidávat přihlašovací údaje a používat je k zosobnění identity aplikace. Pokud je identitě aplikace udělen přístup k prostředku, například možnost vytvořit nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli tyto akce provádět při zosobňování aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění k tomu, co uživatel může dělat prostřednictvím přiřazení rolí. Je důležité si uvědomit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.
| Akce | Popis |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Správa zásad žádostí o souhlas správce v Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Přečtěte si všechny vlastnosti žádostí o souhlas pro aplikace zaregistrované v Azure AD |
| microsoft.directory/applications/create | Vytvoření všech typů aplikací |
| microsoft.directory/applications/delete | Odstranit všechny typy aplikací |
| microsoft.directory/applications/applicationProxy/read | Čtení všech vlastností proxy aplikací |
| microsoft.directory/applications/applicationProxy/update | Aktualizace všech vlastností proxy aplikací |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualizace nastavení certifikátu SSL pro proxy aplikace |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualizace nastavení adresy URL pro proxy aplikace |
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností pro aplikace |
| microsoft.directory/applications/credentials/update | Aktualizace přihlašovacích údajů aplikace |
| microsoft.directory/applications/extensionProperties/update | Aktualizace vlastností rozšíření v aplikacích |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění ve všech typech aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/applications/verification/update | Aktualizovat vlastnost applicationverification |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/applicationTemplates/instantiate | Vytváření instancí aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/connectors/create | Vytváření konektorů proxy aplikací |
| microsoft.directory/connectors/allProperties/read | Čtení všech vlastností konektorů proxy aplikací |
| microsoft.directory/connectorGroups/create | Vytvoření skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/delete | Odstranění skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/allVlastnosti/update | Aktualizace všech vlastností skupin konektorů proxy aplikací |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Vytváření a správa vlastních rozšíření ověřování |
| microsoft.directory/deletedItems.applications/delete | Trvalé odstranění aplikací, které už nejde obnovit |
| microsoft.directory/deletedItems.applications/restore | Obnovení obnovitelně odstraněných aplikací do původního stavu |
| microsoft.directory/oAuth2PermissionGrants/allVlastnosti/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/applicationPolicies/create | Vytvoření zásad aplikací |
| microsoft.directory/applicationPolicies/delete | Odstranění zásad aplikací |
| microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikací |
| microsoft.directory/applicationPolicies/owners/read | Čtení vlastníků zásad aplikací |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Čtení zásad aplikací použitých na seznam objektů |
| microsoft.directory/applicationPolicies/basic/update | Aktualizace standardních vlastností zásad aplikace |
| microsoft.directory/applicationPolicies/owners/update | Aktualizace vlastnosti vlastníka zásad aplikací |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/servicePrincipals/create | Vytvoření instančních objektů |
| microsoft.directory/servicePrincipals/delete | Odstranění instančních objektů |
| microsoft.directory/servicePrincipals/disable | Zakázání instančních objektů |
| microsoft.directory/servicePrincipals/enable | Povolení instančních objektů |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Správa přihlašovacích údajů jednotného přihlašování hesel k instančním objektům |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Správa tajných kódů a přihlašovacích údajů zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytvoření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Čtení přihlašovacích údajů jednotného přihlašování hesla k instančním objektům |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Udělení souhlasu s oprávněními aplikace a delegovanými oprávněními jménem libovolného uživatele nebo všech uživatelů, s výjimkou oprávnění aplikace pro Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny v instančních objektech |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování v instančních objektech |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizace přihlašovacích údajů instančních objektů |
| microsoft.directory/servicePrincipals/notes/update | Aktualizace poznámek k instančním objektům |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizovat oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/servicePrincipals/tag/update | Aktualizace vlastnosti značky pro instanční objekty |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidružené k vašemu instančnímu objektu |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Vývojář aplikace
Uživatelé v této roli můžou vytvářet registrace aplikací, pokud je nastavení Uživatelé můžou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem, pokud je nastavení Uživatelé můžou vyjádřit souhlas s aplikacemi, které jejich jménem přistupují k datům společnosti, nastaveno na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/createAsOwner | Vytvořte všechny typy aplikací a tvůrce se přidá jako první vlastník. |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Vytvoření udělení oprávnění OAuth 2.0 s autorem jako prvním vlastníkem |
| microsoft.directory/servicePrincipals/createAsOwner | Vytvoření instančních objektů s tvůrcem jako prvním vlastníkem |
Autor datové části útoku
Uživatelé v této roli můžou vytvářet datové části útoku, ale ve skutečnosti je nespouštět ani plánovat. Datové části útoku jsou pak dostupné všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.
Další informace najdete v tématech Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a Oprávnění v Portál dodržování předpisů Microsoft Purview.
| Akce | Popis |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Přečtěte si zprávy o simulaci útoku, reakcích a souvisejícím trénování. |
Správce simulace útoku
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontroly výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.
Další informace najdete v tématech Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a Oprávnění v Portál dodržování předpisů Microsoft Purview.
| Akce | Popis |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Přečtěte si zprávy o simulaci útoku, reakcích a souvisejícím trénování. |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allVlastnosti/allTasks | Vytváření a správa šablon simulace útoku v simulátoru útoku |
Správce přiřazení atributů
Uživatelé s touto rolí můžou přiřazovat a odebírat vlastní klíče a hodnoty atributů zabezpečení pro podporované Azure AD objekty, jako jsou uživatelé, instanční objekty a zařízení.
Ve výchozím nastavení nemají role globálního správce a další role správce oprávnění ke čtení, definování ani přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace najdete v tématu Správa přístupu k vlastním atributům zabezpečení v Azure AD.
| Akce | Popis |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností definic vlastních atributů zabezpečení |
| microsoft.directory/devices/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro zařízení |
| microsoft.directory/devices/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro zařízení |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro instanční objekty |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualizace vlastních hodnot atributů zabezpečení pro instanční objekty |
| microsoft.directory/users/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro uživatele |
| microsoft.directory/users/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro uživatele |
Čtenář přiřazení atributů
Uživatelé s touto rolí můžou číst vlastní klíče a hodnoty atributů zabezpečení pro podporované Azure AD objekty.
Ve výchozím nastavení nemají role globálního správce a další role správce oprávnění ke čtení, definování ani přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace najdete v tématu Správa přístupu k vlastním atributům zabezpečení v Azure AD.
| Akce | Popis |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností definic vlastních atributů zabezpečení |
| microsoft.directory/devices/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro zařízení |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro instanční objekty |
| microsoft.directory/users/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro uživatele |
Správce definic atributů
Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit podporovaným objektům Azure AD. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.
Ve výchozím nastavení nemají role globálního správce a další role správce oprávnění ke čtení, definování ani přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace najdete v tématu Správa přístupu k vlastním atributům zabezpečení v Azure AD.
| Akce | Popis |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Správa všech aspektů sad atributů |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Správa všech aspektů vlastních definic atributů zabezpečení |
Čtečka definic atributů
Uživatelé s touto rolí můžou číst definici vlastních atributů zabezpečení.
Ve výchozím nastavení nemají role globálního správce a další role správce oprávnění ke čtení, definování ani přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace najdete v tématu Správa přístupu k vlastním atributům zabezpečení v Azure AD.
| Akce | Popis |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností definic vlastních atributů zabezpečení |
Správce ověřování
Přiřaďte roli Správce ověřování uživatelům, kteří potřebují:
- Nastavte nebo resetujte libovolnou metodu ověřování (včetně hesel) pro uživatele, kteří nejsou správci, a některé role. Seznam rolí, které může správce ověřování číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
- Vyžadovat, aby se uživatelé, kteří nejsou správci nebo jsou přiřazeni k některým rolím, znovu zaregistrovali proti stávajícím přihlašovacím údajům bez hesla (například vícefaktorové ověřování nebo FIDO) a mohli také odvolat zapamatování vícefaktorového ověřování na zařízení, což při příštím přihlášení zobrazí výzvu k vícefaktorovém ověřování.
- U některých uživatelů můžete provádět citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
Uživatelé s touto rolí nemůžou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny s možností přiřazení rolí.
- Na starším portálu pro správu vícefaktorového ověřování nebo hardwarových tokenech OATH nejde spravovat nastavení vícefaktorového ověřování. Stejné funkce můžete provést pomocí rutiny Set-MsolUser Azure AD modulu PowerShellu.
Následující tabulka porovnává možnosti této role se souvisejícími rolemi.
| Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
|---|---|---|---|---|---|---|---|
| Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
| Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | Ne | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
| Správce zásad ověřování | Ne | Ne | Yes | Ano | Yes | Ne | Ne |
| Správce uživatelů | No | Ne | Ne | Ne | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou měnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v rámci i mimo službu Azure Active Directory. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat identitu a oprávnění tohoto uživatele. Příklad:
- Vlastníci registrace aplikací a podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v Azure AD a jinde, které nejsou udělené správcům ověřování. Prostřednictvím této cesty může správce ověřování převzít identitu vlastníka aplikace a pak dále převzít identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří mohou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupina zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure AD i jinde.
- Správci v jiných službách mimo Azure AD, jako jsou Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní zástupci a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
| Akce | Popis |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Vytvoření metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/delete | Odstranění metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje pro uživatele |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualizace základních vlastností metod ověřování pro uživatele |
| microsoft.directory/deletedItems.users/restore | Obnovení obnovitelně odstraněných uživatelů do původního stavu |
| microsoft.directory/users/delete | Odstranění uživatelů |
| microsoft.directory/users/disable | Zakázat uživatele |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zrušením platnosti obnovovacích tokenů uživatele |
| microsoft.directory/users/restore | Obnovení odstraněných uživatelů |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností u uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce zásad ověřování
Přiřaďte roli Správce zásad ověřování uživatelům, kteří potřebují provést následující akce:
- Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci celého tenanta a zásady ochrany heslem, které určují, které metody mohou jednotliví uživatelé zaregistrovat a používat.
- Správa nastavení ochrany heslem: Konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
- Vytvořte a spravujte ověřitelné přihlašovací údaje.
- Vytvořte a spravujte lístky podpora Azure.
Uživatelé s touto rolí nemohou provádět následující akce:
- Citlivé vlastnosti nelze aktualizovat. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Nelze odstranit nebo obnovit uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Nelze spravovat nastavení vícefaktorového ověřování na starším portálu pro správu vícefaktorového ověřování nebo hardwarových tokenech OATH.
Následující tabulka porovnává možnosti této role se souvisejícími rolemi.
| Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
|---|---|---|---|---|---|---|---|
| Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | No | No | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
| Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | Ne | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
| Správce zásad ověřování | Ne | Ne | Yes | Ano | Yes | Ne | Ne |
| Správce uživatelů | No | Ne | Ne | Ne | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
| Akce | Popis |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Správa všech aspektů vlastností silného ověřování organizace |
| microsoft.directory/userCredentialPolicies/create | Vytvoření zásad přihlašovacích údajů pro uživatele |
| microsoft.directory/userCredentialPolicies/delete | Odstranění zásad přihlašovacích údajů pro uživatele |
| microsoft.directory/userCredentialPolicies/standard/read | Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele |
| microsoft.directory/userCredentialPolicies/owners/read | Čtení vlastníků zásad přihlašovacích údajů pro uživatele |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Přečíst odkaz policy.appliesTo navigation |
| microsoft.directory/userCredentialPolicies/basic/update | Aktualizace základních zásad pro uživatele |
| microsoft.directory/userCredentialPolicies/owners/update | Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualizace vlastnosti policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Čtení ověřitelné karty přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odvolání ověřitelné karty přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Vytvoření ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Čtení ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizace ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/create | Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/delete | Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Čtení konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/allVlastnosti/update | Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
Azure AD připojený správce místního zařízení
Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech Windows 10 zařízeních, která jsou připojená k Azure Active Directory. Nemají možnost spravovat objekty zařízení v Azure Active Directory.
| Akce | Popis |
|---|---|
| microsoft.directory/groupSettings/standard/read | Čtení základních vlastností nastavení skupiny |
| microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností šablon nastavení skupiny |
Správce Azure DevOps
Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které využívají Azure AD. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporovaná Azure AD společnosti. Uživatelé v této roli si navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například správci kolekcí projektů) v žádné z organizací Azure DevOps, které jsou podporovány Azure AD organizací společnosti.
| Akce | Popis |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Čtení a konfigurace Azure DevOps |
Správce azure Information Protection
Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky pro zásady Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění ve službě Identity Protection, Privileged Identity Management, Monitorování stavu služby Microsoft 365, portálu Microsoft 365 Defender ani v Portál dodržování předpisů Microsoft Purview.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce sady klíčů B2C IEF
Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a deklarování nebo dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data jejich vypršení platnosti i po jejich vytvoření.
Důležité
Toto je citlivá role. Role správce sady klíčů by měla být pečlivě auditována a přiřazována opatrně během předprodukčního a produkčního prostředí.
| Akce | Popis |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Čtení a konfigurace sad klíčů v Azure Active Directory B2C |
Správce zásad IEF B2C
Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad platformou Identity Experience Framework v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, odesílat uživatelská data externím systémům včetně úplných migrací a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče nebo upravit tajné kódy používané pro federaci v organizaci.
Důležité
Správce zásad IEF B2 je vysoce citlivá role, která by se měla organizacím v produkčním prostředí přiřazovat ve velmi omezeném počtu. Aktivity těchto uživatelů by měly být pečlivě auditovány, zejména pro organizace v produkčním prostředí.
| Akce | Popis |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Čtení a konfigurace vlastních zásad v Azure Active Directory B2C |
Správce fakturace
Může dělat nákupy, spravovat předplatná, spravovat lístky žádostí o podporu a sledovat stav služeb.
| Akce | Popis |
|---|---|
| microsoft.directory/organization/basic/update | Aktualizace základních vlastností v organizaci |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.commerce.billing/allEntities/allVlastnosti/allTasks | Správa všech aspektů fakturace Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce Cloud App Security
Uživatelé s touto rolí mají úplná oprávnění v Defenderu for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defender for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.
| Akce | Popis |
|---|---|
| microsoft.directory/cloudAppSecurity/allVlastnosti/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Defender for Cloud Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce cloudové aplikace
Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikací, s výjimkou oprávnění aplikací pro Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikací pro jiné aplikace (například aplikace od jiných společností než Microsoft nebo aplikace, které jste zaregistrovali). O tato oprávnění můžete i nadále požádat v rámci registrace aplikace, ale udělení (tj. souhlas s) těchto oprávnění vyžaduje privilegovaného správce, například globálního správce.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé s touto rolí můžou do aplikace přidávat přihlašovací údaje a používat je k zosobnění identity aplikace. Pokud je identitě aplikace udělen přístup k prostředku, například možnost vytvořit nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli tyto akce provádět při zosobňování aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění k tomu, co uživatel může dělat prostřednictvím přiřazení rolí. Je důležité si uvědomit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.
| Akce | Popis |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Správa zásad žádostí o souhlas správce v Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Přečtěte si všechny vlastnosti žádostí o souhlas pro aplikace zaregistrované v Azure AD |
| microsoft.directory/applications/create | Vytvoření všech typů aplikací |
| microsoft.directory/applications/delete | Odstranit všechny typy aplikací |
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností pro aplikace |
| microsoft.directory/applications/credentials/update | Aktualizace přihlašovacích údajů aplikace |
| microsoft.directory/applications/extensionProperties/update | Aktualizace vlastností rozšíření v aplikacích |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění ve všech typech aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/applications/verification/update | Aktualizovat vlastnost applicationverification |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/applicationTemplates/instantiate | Vytváření instancí aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/deletedItems.applications/delete | Trvalé odstranění aplikací, které už nejde obnovit |
| microsoft.directory/deletedItems.applications/restore | Obnovení obnovitelně odstraněných aplikací do původního stavu |
| microsoft.directory/oAuth2PermissionGrants/allVlastnosti/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/applicationPolicies/create | Vytvoření zásad aplikací |
| microsoft.directory/applicationPolicies/delete | Odstranění zásad aplikací |
| microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikací |
| microsoft.directory/applicationPolicies/owners/read | Čtení vlastníků zásad aplikací |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Čtení zásad aplikací použitých na seznam objektů |
| microsoft.directory/applicationPolicies/basic/update | Aktualizace standardních vlastností zásad aplikace |
| microsoft.directory/applicationPolicies/owners/update | Aktualizace vlastnosti vlastníka zásad aplikací |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/servicePrincipals/create | Vytvoření instančních objektů |
| microsoft.directory/servicePrincipals/delete | Odstranění instančních objektů |
| microsoft.directory/servicePrincipals/disable | Zakázání instančních objektů |
| microsoft.directory/servicePrincipals/enable | Povolení instančních objektů |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Správa přihlašovacích údajů jednotného přihlašování hesel k instančním objektům |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Správa tajných kódů a přihlašovacích údajů zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytvoření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Čtení přihlašovacích údajů jednotného přihlašování hesla k instančním objektům |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Udělení souhlasu s oprávněními aplikace a delegovanými oprávněními jménem libovolného uživatele nebo všech uživatelů, s výjimkou oprávnění aplikace pro Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny v instančních objektech |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování v instančních objektech |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizace přihlašovacích údajů instančních objektů |
| microsoft.directory/servicePrincipals/notes/update | Aktualizace poznámek k instančním objektům |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizovat oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/servicePrincipals/tag/update | Aktualizace vlastnosti značky pro instanční objekty |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidružené k vašemu instančnímu objektu |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce cloudových zařízení
Uživatelé v této roli můžou povolit, zakázat a odstranit zařízení v Azure AD a číst Windows 10 klíče nástroje BitLocker (pokud jsou k dispozici) v Azure Portal. Role neuděluje oprávnění ke správě jakýchkoli dalších vlastností v zařízení.
| Akce | Popis |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat a klíče nástroje BitLocker na zařízeních |
| microsoft.directory/deletedItems.devices/delete | Trvalé odstranění zařízení, která už nejde obnovit |
| microsoft.directory/deletedItems.devices/restore | Obnovení obnovitelně odstraněných zařízení do původního stavu |
| microsoft.directory/devices/delete | Odstranění zařízení z Azure AD |
| microsoft.directory/devices/disable | Zakázání zařízení v Azure AD |
| microsoft.directory/devices/enable | Povolení zařízení v Azure AD |
| microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností v zásadách aplikací správy zařízení |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualizace základních vlastností zásad aplikací správy zařízení |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualizace základních vlastností zásad registrace zařízení |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
Správce dodržování předpisů
Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazení můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
| V | Může to udělat |
|---|---|
| Portál dodržování předpisů Microsoft Purview | Ochrana a správa dat organizace napříč službami Microsoftu 365 Správa upozornění na dodržování předpisů |
| Microsoft Purview Compliance Manager | Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace |
| portál Microsoft 365 Defender | Správa zásad správného řízení dat Prošetření právních předpisů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dodržování předpisů v řízení přístupu na základě role na portálu Microsoft 365 Defender. |
| Intune | Zobrazení všech dat auditu Intune |
| Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. V části Správa dat můžete zobrazit všechny předdefinované sestavy. |
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Azure AD |
| microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů správce dodržování předpisů Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce dat dodržování předpisů
Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v centru pro správu Exchange, Správci dodržování předpisů a Teams & Skype pro firmy centru pro správu a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi správcem dodržování předpisů a správcem dat o dodržování předpisů najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
| V | Můžete udělat |
|---|---|
| Portál dodržování předpisů Microsoft Purview | Monitorování zásad souvisejících s dodržováním předpisů ve službách Microsoftu 365 Správa upozornění na dodržování předpisů |
| Správce dodržování předpisů Microsoft Purview | Sledování, přiřazování a ověřování aktivit organizace v oblasti dodržování právních předpisů |
| Microsoft 365 Defender Portal | Správa zásad správného řízení dat Provedení právního šetření a šetření dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dat dodržování předpisů v řízení přístupu na základě role na portálu Microsoft 365 Defender. |
| Intune | Zobrazení všech dat auditu Intune |
| Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. V části Správa dat můžete zobrazit všechny předdefinované sestavy. |
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Defender for Cloud Apps |
| microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů správce dodržování předpisů Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce podmíněného přístupu
Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu služby Azure Active Directory.
| Akce | Popis |
|---|---|
| microsoft.directory/namedLocations/create | Vytvoření vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/delete | Odstranit vlastní pravidla, která definují síťová umístění |
| microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/basic/update | Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/conditionalAccessPolicies/create | Vytvoření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/standard/read | Čtení podmíněného přístupu pro zásady |
| microsoft.directory/conditionalAccessPolicies/owners/read | Čtení vlastníků zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Přečtěte si vlastnost "platí pro" pro zásady podmíněného přístupu. |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualizace vlastníků pro zásady podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualizace výchozího tenanta pro zásady podmíněného přístupu |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualizace kontextu ověřování podmíněného přístupu pro akce prostředků řízení přístupu na základě role (RBAC) Microsoftu 365 |
Schvalovatel přístupu Customer LockBox
Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Obdrží e-mailová oznámení o žádostech Customer Lockboxu a můžou schvalovat a zamítat žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla osob přiřazených k této roli můžou resetovat jenom globální správci.
| Akce | Popis |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Správa všech aspektů Customer Lockboxu |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce Desktop Analytics
Uživatelé v této roli můžou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazit inventář prostředků, vytvořit plány nasazení a zobrazit nasazení a stav.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Správa všech aspektů Desktop Analytics |
Čtenáři adresářů
Uživatelé v této roli můžou číst základní informace o adresáři. Tato role by se měla používat pro:
- Udělení konkrétní sady uživatelů typu host s přístupem ke čtení místo udělení přístupu všem uživatelům typu host
- Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k Azure Portal v případech, kdy je možnost Omezit přístup k Azure Portal pouze správcům nastavená na Hodnotu Ano.
- Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možné.
| Akce | Popis |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Čtení základních vlastností v jednotkách pro správu |
| microsoft.directory/administrativeUnits/members/read | Čtení členů jednotek pro správu |
| microsoft.directory/applications/standard/read | Čtení standardních vlastností aplikací |
| microsoft.directory/applications/owners/read | Čtení vlastníků aplikací |
| microsoft.directory/applications/policies/read | Čtení zásad aplikací |
| microsoft.directory/contacts/standard/read | Čtení základních vlastností kontaktů v Azure AD |
| microsoft.directory/contacts/memberOf/read | Přečtěte si členství ve skupině pro všechny kontakty v Azure AD |
| microsoft.directory/contracts/standard/read | Přečtěte si základní vlastnosti partnerských smluv. |
| microsoft.directory/devices/standard/read | Čtení základních vlastností na zařízeních |
| microsoft.directory/devices/memberOf/read | Čtení členství v zařízeních |
| microsoft.directory/devices/registeredOwners/read | Čtení registrovaných vlastníků zařízení |
| microsoft.directory/devices/registeredUsers/read | Čtení registrovaných uživatelů zařízení |
| microsoft.directory/directoryRoles/standard/read | Čtení základních vlastností v rolích Azure AD |
| microsoft.directory/directoryRoles/eligibleMembers/read | Čtení oprávněných členů Azure AD rolí |
| microsoft.directory/directoryRoles/members/read | Čtení všech členů Azure AD rolí |
| microsoft.directory/domains/standard/read | Čtení základních vlastností domén |
| microsoft.directory/groups/standard/read | Čtení standardních vlastností skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups/appRoleAssignments/read | Čtení přiřazení aplikačních rolí skupin |
| microsoft.directory/groups/memberOf/read | Přečtěte si vlastnost memberOf ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení rolí. |
| microsoft.directory/groups/members/read | Čtení členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s přiřazením rolí |
| microsoft.directory/groups/owners/read | Čtení vlastníků skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups/settings/read | Čtení nastavení skupin |
| microsoft.directory/groupSettings/standard/read | Čtení základních vlastností nastavení skupiny |
| microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností šablon nastavení skupiny |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Čtení základních vlastností u udělení oprávnění OAuth 2.0 |
| microsoft.directory/organization/standard/read | Čtení základních vlastností organizace |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Čtení důvěryhodných certifikačních autorit pro ověřování bez hesla |
| microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikací |
| microsoft.directory/roleAssignments/standard/read | Čtení základních vlastností přiřazení rolí |
| microsoft.directory/roleDefinitions/standard/read | Čtení základních vlastností definic rolí |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Čtení přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených k instančním objektům |
| microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/memberOf/read | Přečtěte si členství ve skupinách v instančních objektech. |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění pro instanční objekty |
| microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/ownedObjects/read | Čtení vlastněných objektů instančních objektů |
| microsoft.directory/servicePrincipals/policies/read | Čtení zásad instančních objektů |
| microsoft.directory/subscribedSkus/standard/read | Čtení základních vlastností předplatných |
| microsoft.directory/users/standard/read | Čtení základních vlastností uživatelů |
| microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
| microsoft.directory/users/deviceForResourceAccount/read | Čtení deviceForResourceAccount uživatelů |
| microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
| microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
| microsoft.directory/users/manager/read | Správce čtení uživatelů |
| microsoft.directory/users/memberOf/read | Čtení členství uživatelů ve skupinách |
| microsoft.directory/users/oAuth2PermissionGrants/read | Čtení udělení delegovaných oprávnění uživatelům |
| microsoft.directory/users/ownedDevices/read | Čtení zařízení uživatelů |
| microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
| microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
| microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
| microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Azure AD, která je vymezená na jednotku pro správu |
Účty synchronizace adresářů
Nepoužívat. Tato role se automaticky přiřadí ke službě Azure AD Connect a není určená ani podporovaná pro žádné jiné použití.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/create | Vytvoření všech typů aplikací |
| microsoft.directory/applications/delete | Odstranit všechny typy aplikací |
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností aplikací |
| microsoft.directory/applications/credentials/update | Aktualizace přihlašovacích údajů aplikace |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Správa zásad hybridního ověřování v Azure AD |
| microsoft.directory/organization/dirSync/update | Aktualizace vlastnosti synchronizace adresáře organizace |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Azure AD |
| microsoft.directory/policies/create | Vytváření zásad v Azure AD |
| microsoft.directory/policies/delete | Odstranění zásad v Azure AD |
| microsoft.directory/policies/standard/read | Čtení základních vlastností zásad |
| microsoft.directory/policies/owners/read | Čtení vlastníků zásad |
| microsoft.directory/policies/policyAppliedTo/read | Čtení vlastnosti policies.policyAppliedTo |
| microsoft.directory/policies/basic/update | Aktualizace základních vlastností zásad |
| microsoft.directory/policies/owners/update | Aktualizace vlastníků zásad |
| microsoft.directory/policies/tenantDefault/update | Aktualizace výchozích zásad organizace |
| microsoft.directory/servicePrincipals/create | Vytvoření instančních objektů |
| microsoft.directory/servicePrincipals/delete | Odstranění instančních objektů |
| microsoft.directory/servicePrincipals/enable | Povolení instančních objektů |
| microsoft.directory/servicePrincipals/disable | Zakázání instančních objektů |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Správa přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Čtení přihlašovacích údajů jednotného přihlašování s heslem k instančním objektům |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Čtení přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených k instančním objektům |
| microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/memberOf/read | Přečtěte si členství ve skupinách v instančních objektech. |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění pro instanční objekty |
| microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/ownedObjects/read | Čtení vlastněných objektů instančních objektů |
| microsoft.directory/servicePrincipals/policies/read | Čtení zásad instančních objektů |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny v instančních objektech |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování v instančních objektech |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/credentials/update | Aktualizace přihlašovacích údajů instančních objektů |
| microsoft.directory/servicePrincipals/notes/update | Aktualizace poznámek k instančním objektům |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizovat oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/servicePrincipals/tag/update | Aktualizace vlastnosti značky pro instanční objekty |
Zapisovače adresářů
Uživatelé v této roli můžou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Aktualizace vlastností rozšíření v aplikacích |
| microsoft.directory/contacts/create | Vytvoření kontaktů |
| microsoft.directory/groups/assignLicence | Přiřazení licencí na produkty ke skupinám pro licencování na základě skupin |
| microsoft.directory/groups/create | Vytváření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
| microsoft.directory/groups/basic/update | Aktualizace základních vlastností skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups/classification/update | Aktualizace vlastnosti klasifikace ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin přiřazení rolí |
| microsoft.directory/groups/groupType/update | Aktualizace vlastností, které by ovlivnily typ skupiny skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/onPremWriteBack/update | Aktualizace skupin Azure Active Directory pro zápis zpět do místního prostředí pomocí Azure AD Connect |
| microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/settings/update | Aktualizace nastavení skupin |
| microsoft.directory/groups/visibility/update | Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groupSettings/create | Vytvoření nastavení skupin |
| microsoft.directory/groupSettings/delete | Odstranění nastavení skupin |
| microsoft.directory/groupSettings/basic/update | Aktualizace základních vlastností v nastavení skupiny |
| microsoft.directory/oAuth2PermissionGrants/create | Vytvoření udělení oprávnění OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Aktualizace udělení oprávnění OAuth 2.0 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Správa tajných kódů a přihlašovacích údajů zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytvoření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/users/assignLicence | Správa uživatelských licencí |
| microsoft.directory/users/create | Přidání uživatelů |
| microsoft.directory/users/disable | Zakázat uživatele |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zrušením platnosti obnovovacích tokenů uživatele |
| microsoft.directory/users/inviteGuest | Pozvání uživatelů typu host |
| microsoft.directory/users/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro uživatele |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností u uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/photo/update | Aktualizovat fotku uživatelů |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele (UPN) uživatelů |
Správce názvů domén
Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Můžou také číst informace adresáře o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V místních prostředích můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružení uživatelé vždy ověřovali místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Azure AD pomocí svých místních hesel prostřednictvím jednotného přihlašování. Nastavení federace se musí synchronizovat přes Azure AD Connect, takže uživatelé mají také oprávnění ke správě Azure AD Connect.
| Akce | Popis |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Vytváření a odstraňování domén a čtení a aktualizace všech vlastností |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Dynamics 365
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba k dispozici, a také mají možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služeb ke správě tenanta.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název Dynamics 365 Správce služeb. V Azure Portal má název správce Dynamics 365.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Edge
Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů požadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace
| Akce | Popis |
|---|---|
| microsoft.edge/allEntities/allVlastnosti/allTasks | Správa všech aspektů Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Exchange
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Exchange Online, pokud je služba k dispozici. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Role správců v Centrum pro správu Microsoftu 365.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název Správce služeb Exchange. V Azure Portal má název Správce Exchange. V Centru pro správu Exchange má název správce Exchange Online.
| Akce | Popis |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/create | Vytváření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/delete | Odstranění skupin Microsoft 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/restore | Obnovení skupin Microsoft 365 z obnovitelně odstraněného kontejneru s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.office365.exchange/allEntities/basic/allTasks | Správa všech aspektů Exchange Online |
| microsoft.office365.network/performance/allVlastnosti/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce příjemce Exchange
Uživatelé s touto rolí mají oprávnění ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchange Online. Další informace najdete v tématu Příjemci v Exchange Server.
| Akce | Popis |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Vytvářet a odstraňovat všechny příjemce a číst a aktualizovat všechny vlastnosti příjemců v Exchange Online |
| microsoft.office365.exchange/migration/allVlastnosti/allTasks | Správa všech úloh souvisejících s migrací příjemců v Exchange Online |
Správce toků uživatelů externího ID
Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) v Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML,CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v Azure AD organizaci. Na druhou stranu tato role nezahrnuje možnost kontroly uživatelských dat ani provádění změn atributů, které jsou součástí schématu organizace. Změny zásad architektury prostředí identit (označované také jako vlastní zásady) jsou také mimo rozsah této role.
| Akce | Popis |
|---|---|
| microsoft.directory/b2cUserFlow/allVlastnosti/allTasks | Čtení a konfigurace toku uživatele v Azure Active Directory B2C |
Správce atributů toku uživatele s externím ID
Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy, které jsou dostupné pro všechny toky uživatelů v Azure AD organizaci. Uživatelé s touto rolí můžou měnit nebo přidávat nové prvky do schématu koncových uživatelů a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám dat, která mohou být od koncových uživatelů žádána a nakonec odesílána jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.
| Akce | Popis |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Čtení a konfigurace atributu uživatele v Azure Active Directory B2C |
Správce externích zprostředkovatelů identit
Tento správce spravuje federaci mezi Azure AD organizacemi a externími zprostředkovateli identity. S touto rolí můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (například cestu ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Azure AD povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:
- Azure AD organizací pro zaměstnance a partnery: Přidání federace (např. pomocí Gmailu) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
- Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo jinou Azure AD organizací) nemá okamžitý vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost do toku uživatele (označuje se také jako předdefinované zásady). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity . Pokud chcete změnit toky uživatelů, vyžaduje se omezená role správce toků uživatelů B2C.
| Akce | Popis |
|---|---|
| microsoft.directory/domains/federation/update | Aktualizace vlastnosti federace domén |
| microsoft.directory/identityProviders/allProperties/allTasks | Čtení a konfigurace zprostředkovatelů identit v Azure Active Directory B2C |
Globální správce
Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure Active Directory i ke službám, které používají identity Azure Active Directory, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online nebo SharePoint Online. a Skype pro firmy Online. Globální správci můžou zobrazit protokoly aktivit adresáře. Globální správci navíc můžou zvýšit úroveň svého přístupu , aby mohli spravovat všechna předplatná Azure a skupiny pro správu. To umožňuje globálním správcům získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Azure AD. Osoba, která se zaregistruje do Azure AD organizace, se stane globálním správcem. Ve vaší společnosti může být více než jeden globální správce. Globální správci můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální správce nemůže odebrat vlastní přiřazení globálního správce. To je proto, aby se zabránilo situaci, kdy organizace nemá žádné globální správce.
Poznámka
Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Další informace najdete v tématu Osvědčené postupy pro Azure AD rolí.
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Azure AD |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Správa kontrol přístupu pro všechny kontrolovatelné prostředky v Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Správa zásad žádostí o souhlas správce v Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Vytváření a správa jednotek pro správu (včetně členů) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Azure AD |
| microsoft.directory/applications/allProperties/allTasks | Vytváření a odstraňování aplikací a čtení a aktualizace všech vlastností |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/applicationTemplates/instantiate | Vytváření instancí aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/users/authenticationMethods/create | Vytvoření metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/delete | Odstranění metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/standard/read | Čtení standardních vlastností metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualizace základních vlastností metod ověřování pro uživatele |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Správa všech aspektů zásad autorizace |
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat nástroje BitLocker a klíče na zařízeních |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Defender for Cloud Apps |
| microsoft.directory/connectors/create | Vytváření konektorů proxy aplikací |
| microsoft.directory/connectors/allProperties/read | Čtení všech vlastností konektorů proxy aplikací |
| microsoft.directory/connectorGroups/create | Vytvoření skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/delete | Odstranění skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin konektorů proxy aplikací |
| microsoft.directory/connectorGroups/allVlastnosti/update | Aktualizace všech vlastností skupin konektorů proxy aplikací |
| microsoft.directory/contacts/allProperties/allTasks | Vytváření a odstraňování kontaktů a čtení a aktualizace všech vlastností |
| microsoft.directory/contracts/allProperties/allTasks | Vytváření a odstraňování partnerských smluv a čtení a aktualizace všech vlastností |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Vytváření a správa vlastních rozšíření ověřování |
| microsoft.directory/deletedItems/delete | Trvalé odstranění objektů, které už nejde obnovit |
| microsoft.directory/deletedItems/restore | Obnovení obnovitelně odstraněných objektů do původního stavu |
| microsoft.directory/devices/allVlastnosti/allTasks | Vytváření a odstraňování zařízení a čtení a aktualizace všech vlastností |
| microsoft.directory/namedLocations/create | Vytvoření vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/delete | Odstranit vlastní pravidla, která definují síťová umístění |
| microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/basic/update | Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností zásad aplikací pro správu zařízení |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualizace základních vlastností zásad aplikací správy zařízení |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualizace základních vlastností zásad registrace zařízení |
| microsoft.directory/directoryRoles/allVlastnosti/allTasks | Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností |
| microsoft.directory/directoryRoleTemplates/allVlastnosti/allTasks | Vytváření a odstraňování šablon rolí Azure AD a čtení a aktualizace všech vlastností |
| microsoft.directory/domains/allProperties/allTasks | Vytváření a odstraňování domén a čtení a aktualizace všech vlastností |
| microsoft.directory/domains/federationConfiguration/standard/read | Čtení standardních vlastností konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualizace základní konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/create | Vytvoření konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/delete | Odstranění konfigurace federace pro domény |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Azure AD |
| microsoft.directory/groups/allVlastnosti/allTasks | Vytváření a odstraňování skupin a čtení a aktualizace všech vlastností |
| microsoft.directory/groupsAssignableToRoles/create | Vytváření skupin s možností přiřazení rolí |
| microsoft.directory/groupsAssignableToRoles/delete | Odstranění skupin s možností přiřazení rolí |
| microsoft.directory/groupsAssignableToRoles/restore | Obnovení skupin s možností přiřazení role |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aktualizace skupin s možností přiřazení rolí |
| microsoft.directory/groupSettings/allVlastnosti/allTasks | Vytvoření a odstranění nastavení skupiny a čtení a aktualizace všech vlastností |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Vytvoření a odstranění šablon nastavení skupiny a čtení a aktualizace všech vlastností |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Správa zásad hybridního ověřování v Azure AD |
| microsoft.directory/identityProtection/allProperties/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností ve službě Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allVlastnosti/allTasks | Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/organization/allProperties/allTasks | Čtení a aktualizace všech vlastností organizace |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Azure AD |
| microsoft.directory/policies/allProperties/allTasks | Vytváření a odstraňování zásad a čtení a aktualizace všech vlastností |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Správa všech vlastností zásad podmíněného přístupu |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualizace základního nastavení zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizace Azure AD nastavení spolupráce B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualizace nastavení přímého připojení B2B Azure AD výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizace nastavení schůzek Teams mezi cloudy pro výchozí zásady přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvoření zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Odstranění zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualizace Azure AD nastavení spolupráce B2B zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualizace nastavení přímého připojení Azure AD B2B zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizace nastavení schůzek Teams napříč cloudy pro zásady přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualizace omezení tenanta zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Čtení všech prostředků v Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualizace kontextu ověřování podmíněného přístupu pro akce prostředků řízení přístupu na základě role (RBAC) Microsoftu 365 |
| microsoft.directory/roleAssignments/allVlastnosti/allTasks | Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí |
| microsoft.directory/roleDefinitions/allVlastnosti/allTasks | Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Vytvoření a odstranění scopedRoleMemberships a čtení a aktualizace všech vlastností |
| microsoft.directory/serviceAction/activateService | Může pro službu provést akci aktivace služby. |
| microsoft.directory/serviceAction/disableDirectoryFeature | Může provést akci služby "zakázat funkci adresáře". |
| microsoft.directory/serviceAction/enableDirectoryFeature | Může provést akci služby "povolit funkci adresáře". |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Může provést akci služby getAvailableExtentionProperties. |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Vytváření a odstraňování instančních objektů a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Udělení souhlasu s libovolnými oprávněními k libovolné aplikaci |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidružené k vašemu instančnímu objektu |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.directory/subscribedSkus/allVlastnosti/allTasks | Nákup a správa předplatných a odstranění předplatných |
| microsoft.directory/users/allProperties/allTasks | Vytváření a odstraňování uživatelů a čtení a aktualizace všech vlastností |
| microsoft.directory/permissionGrantPolicies/create | Vytvoření zásad udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/delete | Odstranit zásady udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualizace základních vlastností zásad udělení oprávnění |
| microsoft.directory/servicePrincipalCreationPolicies/create | Vytvoření zásad vytváření instančního objektu |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Odstranění zásad vytváření instančního objektu |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Čtení standardních vlastností zásad vytváření instančních objektů |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Aktualizace základních vlastností zásad vytváření instančních objektů |
| microsoft.directory/tenantManagement/tenants/create | Vytváření nových tenantů v Azure Active Directory |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Čtení ověřitelné karty přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odvolání ověřitelné karty přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Vytvoření ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Čtení ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizace ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/create | Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/delete | Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Čtení konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/verifiableCredentials/configuration/allVlastnosti/update | Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Správa všech aspektů pracovních postupů životního cyklu a úkolů v Azure AD |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Správa všech aspektů Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.cloudPC/allEntities/allVlastnosti/allTasks | Správa všech aspektů Windows 365 |
| microsoft.commerce.billing/allEntities/allVlastnosti/allTasks | Správa všech aspektů fakturace Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Přečtěte si o službách nákupu v M365 Správa Center. |
| microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
| microsoft.edge/allEntities/allVlastnosti/allTasks | Správa všech aspektů Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Správa všech aspektů Microsoft Power Automate |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Vytvoření, čtení, aktualizace a odstranění dodacích adres pro nároky na hardware společnosti Microsoft, včetně dodacích adres vytvořených jinými uživateli |
| microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené nároky záruce na hardware Od Microsoftu. |
| microsoft.hardware.support/warrantyClaims/allVlastnosti/allTasks | Vytváření a správa všech aspektů nároků na hardware společnosti Microsoft |
| microsoft.insights/allEntities/allVlastnosti/allTasks | Správa všech aspektů aplikace Insights |
| microsoft.intune/allEntities/allTasks | Správa všech aspektů Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů Office 365 Compliance Manageru |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Správa všech aspektů Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Správa všech aspektů Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Čtení analytických sestav o porozumění obsahu v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Správa viditelnosti tématu znalostní sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/learningSources/allVlastnosti/allTasks | Správa výukových zdrojů a všech jejich vlastností v aplikaci Learning |
| microsoft.office365.lockbox/allEntities/allTasks | Správa všech aspektů Customer Lockboxu |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.messageCenter/securityMessages/read | Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365 |
| microsoft.office365.network/performance/allVlastnosti/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Správa všech aspektů vytváření zpráv organizace v Microsoftu 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Správa všech aspektů center zabezpečení a dodržování předpisů |
| microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v centru dodržování předpisů zabezpečení Office 365 & |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Čtení a aktualizace viditelnosti nových zpráv |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.office365.yammer/allEntities/allVlastnosti/allTasks | Správa všech aspektů Yammeru |
| microsoft.permissionsManagement/allEntities/allVlastnosti/allTasks | Správa všech aspektů správy oprávnění Entra |
| microsoft.powerApps/allEntities/allTasks | Správa všech aspektů Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Správa všech aspektů Power BI |
| microsoft.teams/allEntities/allVlastnosti/allTasks | Správa všech prostředků v Teams |
| microsoft.virtualVisits/allEntities/allVlastnosti/allTasks | Správa a sdílení metrik a informací o virtuálních návštěvách z center pro správu nebo aplikace Virtuální návštěvy |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Správa všech aspektů Microsoft Defender for Endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Čtení a konfigurace všech aspektů služby služba Windows Update Service |
Globální čtenář
Uživatelé v této roli můžou číst nastavení a informace o správě napříč službami Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek globálního správce jen pro čtení. Přiřaďte globálního čtenáře místo globálního správce pro plánování, audity nebo šetření. Globální čtenář používejte v kombinaci s dalšími omezenými rolemi správce, jako je správce Exchange, abyste si usnadnili práci bez přiřazení role globálního správce. Globální čtečka funguje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender Portál dodržování předpisů Microsoft Purview Azure Portal a centrum pro správu Správa zařízení.
Uživatelé s touto rolí nemůžou provádět následující akce:
- V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.
Poznámka
Role Globální čtenář má následující omezení:
- Centrum pro správu OneDrivu – Centrum pro správu OneDrivu nepodporuje roli Globální čtenář
- Centrum pro správu Microsoftu 365 – globální čtenář nemůže číst integrované aplikace. V levém podokně Centrum pro správu Microsoftu 365 v části Nastavení nenajdete kartu Integrované aplikace.
- Microsoft 365 Defender portál – globální čtenář nemůže číst protokoly auditu SCC, vyhledávat obsah ani zobrazovat skóre zabezpečení.
- Centrum pro správu Teams – globální čtenář nemůže číst životní cyklus Teams, analytické & sestavy, správu ip telefonních zařízení a katalog aplikací. Další informace najdete v tématu Použití rolí správce Microsoft Teams ke správě Teams.
- Privileged Access Management nepodporuje roli globálního čtenáře.
- Azure Information Protection – Globální čtečka se podporuje pouze pro centrální vytváření sestav a v případě, že vaše organizace Azure AD není na jednotné platformě popisování.
- SharePoint – globální čtenář momentálně nemá přístup k SharePointu pomocí PowerShellu.
- Centrum pro správu Power Platform – Globální čtečka se zatím v centru pro správu Power Platform nepodporuje.
- Microsoft Purview nepodporuje roli globálního čtenáře.
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Zastaralé) Čtení všech vlastností kontrol přístupu |
| microsoft.directory/accessReviews/definitions/allProperties/read | Čtení všech vlastností kontrol přístupu pro všechny kontrolovatelné prostředky v Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Čtení všech vlastností zásad žádostí o souhlas správce v Azure AD |
| microsoft.directory/administrativeUnits/allProperties/read | Čtení všech vlastností jednotek pro správu, včetně členů |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Azure AD |
| microsoft.directory/applications/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) u všech typů aplikací |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje uživatelů |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat nástroje BitLocker a klíče na zařízeních |
| microsoft.directory/cloudAppSecurity/allProperties/read | Čtení všech vlastností defenderu for Cloud Apps |
| microsoft.directory/connectors/allProperties/read | Čtení všech vlastností konektorů proxy aplikací |
| microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin konektorů proxy aplikací |
| microsoft.directory/contacts/allProperties/read | Čtení všech vlastností kontaktů |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Čtení vlastních rozšíření ověřování |
| microsoft.directory/devices/allProperties/read | Čtení všech vlastností zařízení |
| microsoft.directory/directoryRoles/allProperties/read | Čtení všech vlastností rolí adresáře |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Čtení všech vlastností šablon rolí adresáře |
| microsoft.directory/domains/allProperties/read | Čtení všech vlastností domén |
| microsoft.directory/domains/federationConfiguration/standard/read | Čtení standardních vlastností konfigurace federace pro domény |
| microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Azure AD |
| microsoft.directory/groups/allVlastnosti/read | Čtení všech vlastností (včetně privilegovaných vlastností) ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení role |
| microsoft.directory/groupSettings/allProperties/read | Čtení všech vlastností nastavení skupiny |
| microsoft.directory/groupSettingTemplates/allProperties/read | Čtení všech vlastností šablon nastavení skupiny |
| microsoft.directory/identityProtection/allProperties/read | Čtení všech prostředků ve službě Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allVlastnosti/read | Čtení všech vlastností značkové přihlašovací stránky vaší organizace |
| microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Čtení všech vlastností udělení oprávnění OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Čtení všech vlastností organizace |
| microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
| microsoft.directory/policies/allProperties/read | Čtení všech vlastností zásad |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Čtení všech vlastností zásad podmíněného přístupu |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností zásad aplikací pro správu zařízení |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Čtení všech prostředků v Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/roleAssignments/allVlastnosti/read | Čtení všech vlastností přiřazení rolí |
| microsoft.directory/roleDefinitions/allProperties/read | Čtení všech vlastností definic rolí |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Zobrazení členů v jednotkách pro správu |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Může provést akci služby getAvailableExtentionProperties. |
| microsoft.directory/servicePrincipals/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) na servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Čtení standardních vlastností zásad vytváření instančních objektů |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k instančnímu objektu |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.directory/subscribedSkus/allProperties/read | Čtení všech vlastností předplatných produktů |
| microsoft.directory/users/allProperties/read | Čtení všech vlastností uživatelů |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Přečtení ověřitelné karty s přihlašovacími údaji |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Čtení ověřitelné smlouvy o přihlašovacích údaji |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Čtení konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Čtení všech vlastností pracovních postupů a úkolů životního cyklu v Azure AD |
| microsoft.cloudPC/allEntities/allProperties/read | Číst všechny aspekty Windows 365 |
| microsoft.commerce.billing/allEntities/allVlastnosti/read | Čtení všech prostředků Office 365 fakturace |
| microsoft.commerce.billing/purchases/standard/read | Přečtěte si informace o nákupu služeb v M365 Správa Center. |
| microsoft.edge/allEntities/allVlastnosti/read | Přečtěte si všechny aspekty Microsoft Edge. |
| microsoft.hardware.support/shippingAddress/allProperties/read | Přečtěte si dodací adresy pro nároky na hardware společnosti Microsoft, včetně stávajících dodacích adres vytvořených jinými uživateli. |
| microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice otevřených žádostí o záruku na hardware Microsoftu. |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Přečtěte si žádosti o záruku na hardware od Microsoftu. |
| microsoft.insights/allEntities/allVlastnosti/read | Číst všechny aspekty Viva Insights |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.messageCenter/securityMessages/read | Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365 |
| microsoft.office365.network/performance/allVlastnosti/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Číst všechny aspekty Microsoft 365 Organizational Messages |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Čtení všech vlastností v centrech zabezpečení a dodržování předpisů |
| microsoft.office365.securityComplianceCenter/allEntities/read | Čtení standardních vlastností v Centru zabezpečení a dodržování předpisů Microsoftu 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Přečtěte si všechny aspekty Yammeru. |
| microsoft.permissionsManagement/allEntities/allProperties/read | Přečtěte si všechny aspekty správy oprávnění Entra |
| microsoft.teams/allEntities/allVlastnosti/read | Čtení všech vlastností Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Číst všechny aspekty virtuálních návštěv |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Přečtěte si všechny aspekty služby služba Windows Update Service. |
Správce skupin
Uživatelé v této roli můžou vytvářet a spravovat skupiny a jejich nastavení, jako jsou zásady pojmenování a vypršení platnosti. Je důležité si uvědomit, že přiřazení uživatele k této roli mu dává možnost spravovat kromě Outlooku i všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také nastavení specifická pro konkrétní úlohy, jako jsou centra pro správu Teams a SharePointu.
| Akce | Popis |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Trvalé odstranění skupin, které už nejde obnovit |
| microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
| microsoft.directory/groups/assignLicense | Přiřazení licencí na produkty ke skupinám pro licencování na základě skupin |
| microsoft.directory/groups/create | Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
| microsoft.directory/groups/restore | Obnovení skupin z obnovitelně odstraněného kontejneru |
| microsoft.directory/groups/basic/update | Aktualizace základních vlastností skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups/classification/update | Aktualizace vlastnosti klasifikace ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/groupType/update | Aktualizace vlastností, které by ovlivnily typ skupiny Skupiny zabezpečení a Skupiny Microsoftu 365, s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/onPremWriteBack/update | Aktualizace skupin Azure Active Directory tak, aby se zapsaly zpět do místního prostředí pomocí nástroje Azure AD Connect |
| microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/settings/update | Aktualizace nastavení skupin |
| microsoft.directory/groups/visibility/update | Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Odesílatel pozvánek hostů
Uživatelé v této roli můžou spravovat pozvánky uživatelů typu host B2B v Azure Active Directory, pokud je uživatelské nastavení Členové můžou zvát nastaveno na Ne. Další informace o spolupráci B2B najdete v článku O Azure AD spolupráci B2B. Nezahrnuje žádná další oprávnění.
| Akce | Popis |
|---|---|
| microsoft.directory/users/inviteGuest | Pozvání uživatelů typu host |
| microsoft.directory/users/standard/read | Čtení základních vlastností uživatelů |
| microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
| microsoft.directory/users/deviceForResourceAccount/read | Čtení deviceForResourceAccount uživatelů |
| microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
| microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
| microsoft.directory/users/manager/read | Správce čtení uživatelů |
| microsoft.directory/users/memberOf/read | Čtení členství uživatelů ve skupinách |
| microsoft.directory/users/oAuth2PermissionGrants/read | Čtení udělení delegovaných oprávnění uživatelům |
| microsoft.directory/users/ownedDevices/read | Čtení zařízení uživatelů |
| microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
| microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
| microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
| microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Azure AD, která je vymezená na jednotku pro správu |
Správce helpdesku
Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zneplatnění obnovovacího tokenu vynutí uživatele, aby se znovu přihlásil. To, jestli může správce helpdesku resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce helpdesku resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemůžou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny s možností přiřazení rolí.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro osoby, které můžou mít přístup k citlivým nebo soukromým informacím nebo k důležité konfiguraci uvnitř i mimo službu Azure Active Directory. Změna hesla uživatele může znamenat možnost předpokládat jeho identitu a oprávnění. Příklad:
- Vlastníci registrace aplikací a podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v Azure AD a jinde, které nejsou udělené správcům helpdesku. Prostřednictvím této cesty může správce helpdesku převzít identitu vlastníka aplikace a pak dále převzít identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupina zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure AD i jinde.
- Správci v jiných službách mimo Azure AD, jako jsou Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Pomocí jednotek pro správu je možné delegovat oprávnění správce na podmnožinu uživatelů a aplikovat zásady na podmnožinu uživatelů.
Tato role se dříve jmenovala Správce hesel v Azure Portal. Byla přejmenována na Správce helpdesku, aby odpovídala stávajícímu názvu v Microsoft Graph API a Azure AD PowerShellu.
| Akce | Popis |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat nástroje BitLocker a klíče na zařízeních |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zneplatněním obnovovacích tokenů uživatelů |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce hybridních identit
Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování ze služby AD do Azure AD pomocí zřizování cloudu a také spravovat Azure AD Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné Sign-On (bezproblémové jednotné přihlašování) a nastavení federace. Pomocí této role můžou uživatelé také řešit potíže s protokoly a monitorovat je.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/create | Vytvoření všech typů aplikací |
| microsoft.directory/applications/delete | Odstranit všechny typy aplikací |
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností aplikací |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/applications/synchronization/standard/read | Čtení nastavení zřizování přidruženého k objektu aplikace |
| microsoft.directory/applicationTemplates/instantiate | Vytváření instancí aplikací galerie ze šablon aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Přečtěte si a nakonfigurujte všechny vlastnosti služby Azure AD Cloud Provisioning. |
| microsoft.directory/deletedItems.applications/delete | Trvalé odstranění aplikací, které už nejde obnovit |
| microsoft.directory/deletedItems.applications/restore | Obnovení obnovitelně odstraněných aplikací do původního stavu |
| microsoft.directory/domains/allProperties/read | Čtení všech vlastností domén |
| microsoft.directory/domains/federation/update | Aktualizace vlastnosti federace domén |
| microsoft.directory/domains/federationConfiguration/standard/read | Čtení standardních vlastností konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualizace základní konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/create | Vytvoření konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/delete | Odstranění konfigurace federace pro domény |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Správa zásad hybridního ověřování v Azure AD |
| microsoft.directory/organization/dirSync/update | Aktualizace vlastnosti synchronizace adresáře organizace |
| microsoft.directory/passwordHashSync/allVlastnosti/allTasks | Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Azure AD |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/servicePrincipals/create | Vytvoření instančních objektů |
| microsoft.directory/servicePrincipals/delete | Odstranění instančních objektů |
| microsoft.directory/servicePrincipals/disable | Zakázání instančních objektů |
| microsoft.directory/servicePrincipals/enable | Povolení instančních objektů |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Správa tajných kódů a přihlašovacích údajů zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytvoření a správa synchronizačních úloh a schématu zřizování aplikací |
| microsoft.directory/servicePrincipals/audience/update | Aktualizace vlastností cílové skupiny v instančních objektech |
| microsoft.directory/servicePrincipals/authentication/update | Aktualizace vlastností ověřování v instančních objektech |
| microsoft.directory/servicePrincipals/basic/update | Aktualizace základních vlastností instančních objektů |
| microsoft.directory/servicePrincipals/notes/update | Aktualizace poznámek k instančním objektům |
| microsoft.directory/servicePrincipals/owners/update | Aktualizace vlastníků instančních objektů |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizovat oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/servicePrincipals/tag/update | Aktualizace vlastnosti značky pro instanční objekty |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidružené k vašemu instančnímu objektu |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce zásad správného řízení identit
Uživatelé s touto rolí můžou spravovat Azure AD konfiguraci zásad správného řízení identit, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, a zajistit, aby byl přístup schválený a kontrolovaný a uživatelé typu host, kteří už přístup nepotřebují, budou odebráni.
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Správa kontrol přístupu k přiřazení rolí aplikace v Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Přečtěte si všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, s výjimkou skupin s možností přiřazení rolí. |
| microsoft.directory/accessReviews/definitions.groups/create | Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
| microsoft.directory/accessReviews/allVlastnosti/allTasks | (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Azure AD |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
Správce přehledů
Uživatelé v této roli mají přístup k úplné sadě funkcí správy v aplikaci Microsoft Viva Insights. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení správce přehledů.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.insights/allEntities/allVlastnosti/allTasks | Správa všech aspektů aplikace Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Analytik přehledů
Přiřaďte roli analytika přehledů uživatelům, kteří potřebují provést následující akce:
- Analýza dat v aplikaci Microsoft Viva Insights, ale nemůže spravovat žádná nastavení konfigurace
- Vytváření, správa a spouštění dotazů
- Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
| Akce | Popis |
|---|---|
| microsoft.insights/queries/allVlastnosti/allTasks | Spouštění a správa dotazů v Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Insights Business Leader
Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Insights. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, za které odpovídá role Správce přehledů.
| Akce | Popis |
|---|---|
| microsoft.insights/reports/allVlastnosti/read | Zobrazení sestav a řídicího panelu v aplikaci Insights |
| microsoft.insights/programs/allVlastnosti/update | Nasazení a správa programů v aplikaci Insights |
Správce Intune
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Intune Online, pokud je služba k dispozici. Tato role navíc obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) s Microsoft Intune.
Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Správce Intune ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky nebo členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří a která je součástí jeho oprávnění koncového uživatele. Každá skupina Office (ne skupina zabezpečení), kterou vytvoří, by se proto měla započítávat do kvóty 250.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název správce služeb Intune. V Azure Portal má název Intune Administrator.
| Akce | Popis |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat nástroje BitLocker a klíče na zařízeních |
| microsoft.directory/contacts/create | Vytvoření kontaktů |
| microsoft.directory/contacts/delete | Odstranit kontakty |
| microsoft.directory/contacts/basic/update | Aktualizace základních vlastností kontaktů |
| microsoft.directory/deletedItems.devices/delete | Trvalé odstranění zařízení, která už nejde obnovit |
| microsoft.directory/deletedItems.devices/restore | Obnovení obnovitelně odstraněných zařízení do původního stavu |
| microsoft.directory/devices/create | Vytvoření zařízení (registrace v Azure AD) |
| microsoft.directory/devices/delete | Odstranění zařízení z Azure AD |
| microsoft.directory/devices/disable | Zakázání zařízení v Azure AD |
| microsoft.directory/devices/enable | Povolení zařízení v Azure AD |
| microsoft.directory/devices/basic/update | Aktualizace základních vlastností na zařízeních |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualizace vlastností extensionAttribute1 na extensionAttribute5 na zařízeních |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualizace vlastností extensionAttribute6 na extensionAttribute10 na zařízeních |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualizace vlastností extensionAttribute11 na extensionAttribute15 na zařízeních |
| microsoft.directory/devices/registeredOwners/update | Aktualizace registrovaných vlastníků zařízení |
| microsoft.directory/devices/registeredUsers/update | Aktualizace registrovaných uživatelů zařízení |
| microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností zásad aplikací pro správu zařízení |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/visibility/update | Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/photo/update | Aktualizovat fotku uživatelů |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.cloudPC/allEntities/allVlastnosti/allTasks | Správa všech aspektů Windows 365 |
| microsoft.intune/allEntities/allTasks | Správa všech aspektů Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allVlastnosti/read | Čtení všech aspektů zpráv organizace Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Kaizala
Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsoft Kaizala, když je služba k dispozici, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s používáním kaizaly & členy organizace a k obchodním sestavám vygenerovaným pomocí akcí Kaizala.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce znalostí
Uživatelé v této roli mají úplný přístup ke všem nastavením znalostí, učení a inteligentních funkcí v Centrum pro správu Microsoftu 365. Mají obecné znalosti o sadě produktů, podrobnosti o licencování a mají odpovědnost za řízení přístupu. Správce znalostí může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.
| Akce | Popis |
|---|---|
| microsoft.directory/groups.security/create | Vytváření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Creator se přidá jako první vlastník. |
| microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.office365.knowledge/contentUnderstanding/allVlastnosti/allTasks | Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allVlastnosti/allTasks | Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/learningSources/allVlastnosti/allTasks | Správa výukových zdrojů a všech jejich vlastností ve výukové aplikaci |
| microsoft.office365.protectionCenter/sensitivityLabels/allVlastnosti/read | Čtení všech vlastností popisků citlivosti v centrech zabezpečení a dodržování předpisů |
| microsoft.office365.sharePoint/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Knowledge Manager
Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.
| Akce | Popis |
|---|---|
| microsoft.directory/groups.security/create | Vytváření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Creator se přidá jako první vlastník. |
| microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin přiřazení rolí |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Správa viditelnosti témat znalostní sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce licencí
Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí uživatelům, skupinám (pomocí licencování na základě skupin) a spravovat umístění využití pro uživatele. Tato role neuděluje možnost kupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny ani vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/groups/assignLicence | Přiřazení licencí na produkty ke skupinám pro licencování na základě skupin |
| microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
| microsoft.directory/users/assignLicence | Správa uživatelských licencí |
| microsoft.directory/users/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro uživatele |
| microsoft.directory/users/usageLocation/update | Aktualizace umístění využití uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce pracovních postupů životního cyklu
Přiřaďte roli Správce pracovních postupů životního cyklu uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření a správa všech aspektů pracovních postupů a úkolů souvisejících s pracovními postupy životního cyklu v Azure AD
- Kontrola provádění naplánovaných pracovních postupů
- Spuštění spuštění pracovních postupů na vyžádání
- Kontrola protokolů spuštění pracovního postupu
| Akce | Popis |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Správa všech aspektů pracovních postupů životního cyklu a úkolů v Azure AD |
Čtečka ochrany osobních údajů v Centru zpráv
Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů. Čtenáři ochrany osobních údajů v Centru zpráv dostávají e-mailová oznámení, včetně těch, která se týkají ochrany osobních údajů, a můžou se odhlásit pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst jenom globální správce a čtenář ochrany osobních údajů v Centru zpráv. Tato role navíc obsahuje možnost zobrazit skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.
| Akce | Popis |
|---|---|
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.messageCenter/securityMessages/read | Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Čtečka Centra zpráv
Uživatelé v této roli můžou monitorovat oznámení a aktualizace stavu doporučení v Centru zpráv pro svoji organizaci v nakonfigurovaných službách, jako je Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostávají týdenní přehledy e-mailů s příspěvky, aktualizacemi a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Azure AD budou mít uživatelé přiřazení k této roli přístup jen pro čtení ke službám Azure AD, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.
| Akce | Popis |
|---|---|
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce záruky na hardware Společnosti Microsoft
Přiřaďte roli Správce záruky na hardware microsoftu uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových nároků z záruky na hardware vyrobený Microsoftem, jako je Surface a HoloLens
- Vyhledávání a čtení otevřených nebo uzavřených nároků na záruku
- Hledat a číst žádosti o záruku podle sériového čísla
- Vytvoření, čtení, aktualizace a odstranění dodacích adres
- Přečtěte si stav expedice pro otevřené nároky na záruku.
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Čtení oznámení Centra zpráv v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo výměnu hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužné žádosti o záruční & servis zařízení Surface.
| Akce | Popis |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Vytvoření, čtení, aktualizace a odstranění dodacích adres pro nároky na hardware společnosti Microsoft, včetně dodacích adres vytvořených jinými uživateli |
| microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené nároky záruce na hardware Od Microsoftu. |
| microsoft.hardware.support/warrantyClaims/allVlastnosti/allTasks | Vytváření a správa všech aspektů nároků na hardware společnosti Microsoft |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Specialista na záruku na hardware od Microsoftu
Přiřaďte roli Microsoft Hardware Warranty Specialist uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových nároků z záruky na hardware vyrobený Microsoftem, jako je Surface a HoloLens
- Přečtěte si o záruce, které vytvořili.
- Čtení a aktualizace existujících dodacích adres
- Přečtěte si stav expedice pro otevřené žádosti o záruku, které vytvořili.
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo výměnu hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužné žádosti o záruční & servis zařízení Surface.
| Akce | Popis |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Přečtěte si dodací adresy pro nároky na hardware společnosti Microsoft, včetně stávajících dodacích adres vytvořených jinými uživateli. |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Vytvoření nároků z záruky na hardware od Microsoftu, kde vlastníkem je tvůrce |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené nároky záruce na hardware Od Microsoftu. |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Přečtěte si o záruce na hardware od Microsoftu. |
Moderní komerční uživatel
Nepoužívat. Tato role se automaticky přiřadí z commerce a není určená ani podporovaná pro žádné jiné použití. Níže najdete podrobnosti.
Role moderního komerčního uživatele poskytuje určitým uživatelům oprávnění k přístupu k Centrum pro správu Microsoftu 365 a zobrazení levých navigačních položek pro domácnosti, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen obchodními rolemi přiřazenými uživatelům ke správě produktů, které si koupili pro sebe nebo pro vaši organizaci. To může zahrnovat úlohy, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.
Uživatelé s rolí Uživatele moderního komerčního prostředí mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního správce nebo správce fakturace, které se používají pro přístup k Centru pro správu.
Kdy je přiřazená role uživatele moderního komerčního prostředí?
- Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty tak, že si je sami koupí nebo zaregistrují. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří dělají samoobslužný nákup, se přiřadí role v obchodním systému a role Moderního komerčního uživatele, aby mohli spravovat své nákupy v Centru pro správu. Správci můžou blokovat samoobslužné nákupy (pro Power BI, Power Apps, Power Automate) prostřednictvím PowerShellu. Další informace najdete v nejčastějších dotazech k samoobslužnému nákupu.
- Nákupy z komerčního marketplace Microsoftu – Podobně jako u samoobslužného nákupu platí, že když uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se mu role Moderní komerční uživatel, pokud nemá roli globálního správce nebo správce fakturace. V některých případech může být uživatelům zablokované provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
- Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci na nákup produktů a služeb Microsoftu. Pokud osoba, která přijímá návrh, nemá v Azure AD roli globálního správce nebo správce fakturace, má přiřazenou roli specifickou pro komerční prostředí pro dokončení návrhu a roli moderního komerčního uživatele pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich komerční rolí.
- Role specifické pro komerční prostředí – Některým uživatelům se přiřazují role specifické pro komerční prostředí. Pokud uživatel není globálním správcem nebo správcem fakturace, získá roli Moderní komerční uživatel, aby mohl přistupovat k Centru pro správu.
Pokud uživatel nepřiřadí roli moderního komerčního uživatele, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy při správě předplatných.
| Akce | Popis |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Správa všech aspektů služby Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce sítě
Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na síťové telemetrii z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatele. Tato role umožňuje úpravu zjištěných umístění uživatelů a konfiguraci síťových parametrů pro tato umístění, aby se usnadnila lepší měření telemetrie a doporučení k návrhu.
| Akce | Popis |
|---|---|
| microsoft.office365.network/locations/allVlastnosti/allTasks | Správa všech aspektů síťových umístění |
| microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce aplikací Office
Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoft 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavy související s aplikacemi Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli můžou také spravovat komunikaci nových funkcí v aplikacích Office.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Čtení a aktualizace viditelnosti nových zpráv |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Zapisovač organizačních zpráv
Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:
- Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Čtení výsledků doručení zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny
| Akce | Popis |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allVlastnosti/allTasks | Správa všech aspektů vytváření zpráv organizace v Microsoftu 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Podpora partnerské vrstvy 1
Nepoužívat. Tato role je zastaralá a v budoucnu se z Azure AD odebere. Tato role je určená pro použití malým počtem partnerů Microsoftu pro další prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny jenom pro uživatele bez oprávnění správce. Tato role by se neměla používat, protože je zastaralá.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností pro aplikace |
| microsoft.directory/applications/credentials/update | Aktualizace přihlašovacích údajů aplikace |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění ve všech typech aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/contacts/create | Vytvoření kontaktů |
| microsoft.directory/contacts/delete | Odstranit kontakty |
| microsoft.directory/contacts/basic/update | Aktualizace základních vlastností kontaktů |
| microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
| microsoft.directory/deletedItems.users/restore | Obnovení obnovitelně odstraněných uživatelů do původního stavu |
| microsoft.directory/groups/create | Vytváření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups/restore | Obnovení skupin z obnovitelného odstraněného kontejneru |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/oAuth2PermissionGrants/allVlastnosti/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/users/assignLicence | Správa uživatelských licencí |
| microsoft.directory/users/create | Přidání uživatelů |
| microsoft.directory/users/delete | Odstranění uživatelů |
| microsoft.directory/users/disable | Zakázat uživatele |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zrušením platnosti obnovovacích tokenů uživatele |
| microsoft.directory/users/restore | Obnovení odstraněných uživatelů |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností u uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.directory/users/photo/update | Aktualizovat fotku uživatelů |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Podpora partnerské vrstvy 2
Nepoužívat. Tato role je zastaralá a v budoucnu se z Azure AD odebere. Tato role je určená pro použití malým počtem partnerů Microsoftu pro další prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny pro všechny uživatele, kteří nejsou správci a správci (včetně globálních správců). Tato role by se neměla používat, protože je zastaralá.
| Akce | Popis |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualizace vlastnosti appRoles u všech typů aplikací |
| microsoft.directory/applications/audience/update | Aktualizace vlastnosti cílové skupiny pro aplikace |
| microsoft.directory/applications/authentication/update | Aktualizace ověřování u všech typů aplikací |
| microsoft.directory/applications/basic/update | Aktualizace základních vlastností pro aplikace |
| microsoft.directory/applications/credentials/update | Aktualizace přihlašovacích údajů aplikace |
| microsoft.directory/applications/notes/update | Aktualizace poznámek k aplikacím |
| microsoft.directory/applications/owners/update | Aktualizace vlastníků aplikací |
| microsoft.directory/applications/permissions/update | Aktualizace vystavených oprávnění a požadovaných oprávnění ve všech typech aplikací |
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/applications/tag/update | Aktualizace značek aplikací |
| microsoft.directory/contacts/create | Vytvoření kontaktů |
| microsoft.directory/contacts/delete | Odstranit kontakty |
| microsoft.directory/contacts/basic/update | Aktualizace základních vlastností kontaktů |
| microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
| microsoft.directory/deletedItems.users/restore | Obnovení obnovitelně odstraněných uživatelů do původního stavu |
| microsoft.directory/domains/allVlastnosti/allTasks | Vytváření a odstraňování domén a čtení a aktualizace všech vlastností |
| microsoft.directory/groups/create | Vytváření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups/restore | Obnovení skupin z obnovitelného odstraněného kontejneru |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/oAuth2PermissionGrants/allVlastnosti/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/organization/basic/update | Aktualizace základních vlastností v organizaci |
| microsoft.directory/roleAssignments/allVlastnosti/allTasks | Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí |
| microsoft.directory/roleDefinitions/allVlastnosti/allTasks | Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Vytvoření a odstranění scopedRoleMemberships a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/subscribedSkus/standard/read | Čtení základních vlastností předplatných |
| microsoft.directory/users/assignLicence | Správa uživatelských licencí |
| microsoft.directory/users/create | Přidání uživatelů |
| microsoft.directory/users/delete | Odstranění uživatelů |
| microsoft.directory/users/disable | Zakázat uživatele |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zrušením platnosti obnovovacích tokenů uživatele |
| microsoft.directory/users/restore | Obnovení odstraněných uživatelů |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností u uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.directory/users/photo/update | Aktualizovat fotku uživatelů |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce hesel
Uživatelé s touto rolí mají omezenou možnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. To, jestli může správce hesel resetovat heslo uživatele, závisí na přiřazené roli. Seznam rolí, pro které může správce hesel resetovat hesla, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny s možností přiřazení role.
| Akce | Popis |
|---|---|
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce správy oprávnění
Přiřaďte roli Správce správy oprávnění uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů správy oprávnění Entra, když je služba k dispozici
Další informace o rolích a zásadách správy oprávnění najdete v článku Zobrazení informací o rolích a zásadách.
| Akce | Popis |
|---|---|
| microsoft.permissionsManagement/allEntities/allVlastnosti/allTasks | Správa všech aspektů správy oprávnění Entra |
Správce Power BI
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Power BI, pokud je služba k dispozici, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců Power BI.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název Správce služby Power BI. V Azure Portal má název Správce Power BI.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Správa všech aspektů Power BI |
Správce Power Platform
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toků a zásad ochrany před únikem informací. Uživatelé s touto rolí mají navíc možnost spravovat lístky podpory a monitorovat stav služby.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Správa všech aspektů Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.powerApps/allEntities/allTasks | Správa všech aspektů Power Apps |
Správce tiskárny
Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Univerzální tisk od Microsoftu, včetně nastavení konektoru pro Univerzální tisk. Můžou udělit souhlas se všemi delegovanými žádostmi o oprávnění k tisku. Přístup k sestavám tisku mají také správci tiskáren.
| Akce | Popis |
|---|---|
| microsoft.azure.print/allEntities/allVlastnosti/allTasks | Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v Microsoft Printu |
Technik tiskárny
Uživatelé s touto rolí můžou registrovat tiskárny a spravovat stav tiskárny v řešení Pro univerzální tisk od Microsoftu. Můžou také číst všechny informace o konektorech. Klíčovou úlohou, která technik tiskárny nemůže provést, je nastavení uživatelských oprávnění k tiskárnám a sdílení tiskáren.
| Akce | Popis |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Čtení všech vlastností konektorů v Microsoft Printu |
| microsoft.azure.print/printers/allVlastnosti/read | Čtení všech vlastností tiskáren v Microsoft Printu |
| microsoft.azure.print/printers/register | Registrace tiskáren v Microsoft Printu |
| microsoft.azure.print/printers/unregister | Zrušení registrace tiskáren ve službě Microsoft Print |
| microsoft.azure.print/printers/basic/update | Aktualizace základních vlastností tiskáren v aplikaci Microsoft Print |
Správce privilegovaného ověřování
Přiřaďte roli Správce privilegovaného ověřování uživatelům, kteří potřebují:
- Nastavte nebo resetujte libovolnou metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních správců.
- Odstraňte nebo obnovte všechny uživatele, včetně globálních správců. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vynutit, aby se uživatelé znovu zaregistrovali proti stávajícím přihlašovacím údajům bez hesla (jako je MFA nebo FIDO), a odvolat zapamatování vícefaktorového ověřování na zařízení. Při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
- Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
Uživatelé s touto rolí nemůžou provádět následující akce:
- Na starším portálu pro správu vícefaktorového ověřování nejde spravovat vícefaktorové ověřování pro uživatele. Stejné funkce můžete provést pomocí rutiny Set-MsolUser Azure AD modulu PowerShellu.
Následující tabulka porovnává možnosti této role se souvisejícími rolemi.
| Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
|---|---|---|---|---|---|---|---|
| Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | Ne | Ne | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
| Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | Ne | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
| Správce zásad ověřování | Ne | No | Ano | Yes | Yes | No | Ne |
| Správce uživatelů | No | Ne | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou měnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř i mimo Azure Active Directory. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat identitu a oprávnění tohoto uživatele. Příklad:
- Vlastníci registrace aplikací a podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v Azure AD a jinde, které správci ověřování neudělují. Prostřednictvím této cesty může správce ověřování převzít identitu vlastníka aplikace a pak dále převzít identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupina zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure AD i jinde.
- Správci v jiných službách mimo Azure AD, jako jsou Exchange Online, portál Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní zástupci a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
| Akce | Popis |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Vytvoření metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/delete | Odstranění metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/standard/read | Čtení standardních vlastností metod ověřování pro uživatele |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualizace základních vlastností metod ověřování pro uživatele |
| microsoft.directory/deletedItems.users/restore | Obnovení obnovitelně odstraněných uživatelů do původního stavu |
| microsoft.directory/users/delete | Odstranění uživatelů |
| microsoft.directory/users/disable | Zakázat uživatele |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zrušením platnosti obnovovacích tokenů uživatele |
| microsoft.directory/users/restore | Obnovení odstraněných uživatelů |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností u uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce privilegovaných rolí
Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure Active Directory i v rámci Azure AD Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k Azure AD rolím. Tato role navíc umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.
Důležité
Tato role umožňuje spravovat přiřazení pro všechny role Azure AD, včetně role globálního správce. Tato role nezahrnuje žádné další privilegované schopnosti v Azure AD, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli však můžou sobě nebo jiným uživatelům udělit další oprávnění přiřazením dalších rolí.
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Přečtěte si všechny vlastnosti kontrol přístupu přiřazení rolí aplikace v Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Správa kontrol přístupu pro přiřazení rolí Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Aktualizace všech vlastností kontrol přístupu pro členství ve skupinách, které lze přiřadit k Azure AD rolím |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Vytvoření kontrol přístupu pro členství ve skupinách, které lze přiřadit k Azure AD rolím |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Odstranění kontrol přístupu pro členství ve skupinách, které lze přiřadit k Azure AD rolím |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Přečtěte si všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí. |
| microsoft.directory/administrativeUnits/allVlastnosti/allTasks | Vytváření a správa jednotek pro správu (včetně členů) |
| microsoft.directory/authorizationPolicy/allVlastnosti/allTasks | Správa všech aspektů zásad autorizace |
| microsoft.directory/directoryRoles/allVlastnosti/allTasks | Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností |
| microsoft.directory/groupsAssignableToRoles/create | Vytváření skupin s možností přiřazení rolí |
| microsoft.directory/groupsAssignableToRoles/delete | Odstranění skupin s možností přiřazení rolí |
| microsoft.directory/groupsAssignableToRoles/restore | Obnovení skupin s možností přiřazení role |
| microsoft.directory/groupsAssignableToRoles/allVlastnosti/update | Aktualizace skupin s možností přiřazení rolí |
| microsoft.directory/oAuth2PermissionGrants/allVlastnosti/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Privileged Identity Management |
| microsoft.directory/roleAssignments/allVlastnosti/allTasks | Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí |
| microsoft.directory/roleDefinitions/allVlastnosti/allTasks | Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Vytvoření a odstranění scopedRoleMemberships a čtení a aktualizace všech vlastností |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/servicePrincipals/permissions/update | Aktualizovat oprávnění instančních objektů |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Udělení souhlasu s libovolnými oprávněními k libovolné aplikaci |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Čtenář sestav
Uživatelé s touto rolí můžou zobrazit data generování sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlášení, protokolům auditu a sestavám aktivit v Azure AD a datům vráceným rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají oprávnění správce ke konfiguraci nastavení ani k přístupu do center pro správu specifických pro konkrétní produkt, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.
| Akce | Popis |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce vyhledávání
Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Tito uživatelé navíc můžou zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.
| Akce | Popis |
|---|---|
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Editor vyhledávání
Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah služby Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, Q&As a umístění.
| Akce | Popis |
|---|---|
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce zabezpečení
Uživatelé s touto rolí mají oprávnění ke správě funkcí zabezpečení na portálu Microsoft 365 Defender, službě Azure Active Directory Identity Protection, ověřování Azure Active Directory, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o Office 365 oprávněních najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů v Microsoft Purview.
| V | Může to udělat |
|---|---|
| portál Microsoft 365 Defender | Monitorování zásad zabezpečení ve službách Microsoftu 365 Správa bezpečnostních hrozeb a výstrah Zobrazení sestav |
| Identity Protection | Všechna oprávnění role Čtenář zabezpečení Provádění všech operací služby Identity Protection s výjimkou resetování hesel |
| Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení Nejde spravovat přiřazení nebo nastavení rolí Azure AD. |
| Portál dodržování předpisů Microsoft Purview | Správa zásad zabezpečení Zobrazení bezpečnostních hrozeb, jejich zkoumání a reakce na ně Zobrazení sestav |
| Azure Advanced Threat Protection | Monitorování podezřelých aktivit zabezpečení a reakce na ně |
| Microsoft Defender for Endpoint | Přiřazení rolí Správa skupin počítačů Konfigurace detekce hrozeb koncového bodu a automatizované nápravy Zobrazení, zkoumání a reakce na výstrahy Zobrazení inventáře počítačů nebo zařízení |
| Intune | Zobrazení informací o uživateli, zařízení, registraci, konfiguraci a aplikaci Nelze provádět změny Intune |
| Microsoft Defender for Cloud Apps | Přidání správců, přidání zásad a nastavení, nahrávání protokolů a provádění akcí zásad správného řízení |
| Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
| Inteligentní uzamčení | Definujte prahovou hodnotu a dobu trvání uzamčení, kdy dojde k neúspěšným událostem přihlášení. |
| Ochrana heslem | Nakonfigurujte vlastní seznam zakázaných hesel nebo místní ochranu heslem. |
| Akce | Popis |
|---|---|
| microsoft.directory/applications/policies/update | Aktualizace zásad aplikací |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat a klíče nástroje BitLocker na zařízeních |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualizace základních nastavení zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizace Azure AD nastavení spolupráce B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualizace nastavení přímého připojení Azure AD B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizace nastavení schůzek Teams mezi cloudy výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvoření zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Odstranění zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualizace Azure AD nastavení spolupráce B2B zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualizace nastavení přímého připojení Azure AD B2B zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizace nastavení schůzek teams mezi cloudy pro zásady přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualizace omezení zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/domains/federation/update | Aktualizace vlastnosti federace domén |
| microsoft.directory/domains/federationConfiguration/standard/read | Čtení standardních vlastností konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualizace základní konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/create | Vytvoření konfigurace federace pro domény |
| microsoft.directory/domains/federationConfiguration/delete | Odstranění konfigurace federace pro domény |
| microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Azure AD |
| microsoft.directory/identityProtection/allVlastnosti/read | Čtení všech prostředků ve službě Azure AD Identity Protection |
| microsoft.directory/identityProtection/allVlastnosti/update | Aktualizace všech prostředků ve službě Azure AD Identity Protection |
| microsoft.directory/namedLocations/create | Vytvoření vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/delete | Odstranění vlastních pravidel definující umístění v síti |
| microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/basic/update | Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/policies/create | Vytvoření zásad v Azure AD |
| microsoft.directory/policies/delete | Odstranění zásad v Azure AD |
| microsoft.directory/policies/basic/update | Aktualizace základních vlastností zásad |
| microsoft.directory/policies/owners/update | Aktualizace vlastníků zásad |
| microsoft.directory/policies/tenantDefault/update | Aktualizace výchozích zásad organizace |
| microsoft.directory/conditionalAccessPolicies/create | Vytvoření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/standard/read | Čtení podmíněného přístupu pro zásady |
| microsoft.directory/conditionalAccessPolicies/owners/read | Přečtěte si vlastníky zásad podmíněného přístupu. |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Přečtěte si vlastnost "použito na" pro zásady podmíněného přístupu. |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualizace vlastníků zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualizace výchozího tenanta pro zásady podmíněného přístupu |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Čtení všech prostředků v Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualizace kontextu ověřování podmíněného přístupu pro akce prostředků řízení přístupu na základě role (RBAC) Microsoftu 365 |
| microsoft.directory/servicePrincipals/policies/update | Aktualizace zásad instančních objektů |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.protectionCenter/allEntities/standard/read | Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů |
| microsoft.office365.protectionCenter/allEntities/basic/update | Aktualizace základních vlastností všech prostředků v centru zabezpečení a dodržování předpisů |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Přečtěte si zprávy o simulaci útoku, reakcích a souvisejícím trénování. |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allVlastnosti/allTasks | Vytváření a správa šablon simulace útoku v simulátoru útoku |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Operátor zabezpečení
Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Azure Active Directory, Identity Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o Office 365 oprávněních najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů v Microsoft Purview.
| V | Může to udělat |
|---|---|
| portál Microsoft 365 Defender | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy bezpečnostních hrozeb Správa nastavení zabezpečení na portálu Microsoft 365 Defender |
| Identity Protection | Všechna oprávnění role Čtenář zabezpečení Provádět všechny operace služby Identity Protection s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněním. |
| Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení |
| Portál dodržování předpisů Microsoft Purview | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
| Microsoft Defender for Endpoint | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení Když v Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nebude přiřazena Microsoft Defender for Endpoint role. |
| Intune | Všechna oprávnění role Čtenář zabezpečení |
| Microsoft Defender for Cloud Apps | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
| Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
| Akce | Popis |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/cloudAppSecurity/allVlastnosti/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Defender for Cloud Apps |
| microsoft.directory/identityProtection/allVlastnosti/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností ve službě Azure AD Identity Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Čtení všech prostředků v Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Správa všech aspektů Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.intune/allEntities/read | Čtení všech prostředků v Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v centru dodržování předpisů zabezpečení Office 365 & |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Správa všech aspektů Microsoft Defender for Endpoint |
Čtenář zabezpečení
Uživatelé s touto rolí mají globální přístup jen pro čtení k funkci související se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Azure Active Directory, Identity Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Azure Active Directory a v Portál dodržování předpisů Microsoft Purview. Další informace o Office 365 oprávněních najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů v Microsoft Purview.
| V | Může to udělat |
|---|---|
| portál Microsoft 365 Defender | Zobrazení zásad souvisejících se zabezpečením ve službách Microsoftu 365 Zobrazení bezpečnostních hrozeb a výstrah Zobrazení sestav |
| Identity Protection | Zobrazit všechny sestavy a přehled služby Identity Protection |
| Privileged Identity Management | Má přístup jen pro čtení ke všem informacím, které se zobrazí v Azure AD Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Azure AD a kontroly zabezpečení. Nelze se zaregistrovat k Azure AD Privileged Identity Management ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může uživatel v této roli aktivovat další role (například globální správce nebo správce privilegovaných rolí), pokud na ně má uživatel nárok. |
| Portál dodržování předpisů Microsoft Purview | Zobrazení zásad zabezpečení Zobrazení a zkoumání bezpečnostních hrozeb Zobrazení sestav |
| Microsoft Defender for Endpoint | Zobrazení a prozkoumání upozornění Když v Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nebude přiřazena Microsoft Defender for Endpoint role. |
| Intune | Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. Nemůže provádět změny v Intune. |
| Microsoft Defender for Cloud Apps | Má oprávnění ke čtení. |
| Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Čtení všech vlastností kontrol přístupu u všech kontrolovatelných prostředků v Azure AD |
| microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu, včetně privilegovaných vlastností |
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/bitlockerKeys/key/read | Čtení metadat a klíče nástroje BitLocker na zařízeních |
| microsoft.directory/domains/federationConfiguration/standard/read | Čtení standardních vlastností konfigurace federace pro domény |
| microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Azure AD |
| microsoft.directory/identityProtection/allVlastnosti/read | Čtení všech prostředků ve službě Azure AD Identity Protection |
| microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/policies/standard/read | Čtení základních vlastností zásad |
| microsoft.directory/policies/owners/read | Čtení vlastníků zásad |
| microsoft.directory/policies/policyAppliedTo/read | Číst vlastnost policies.policyAppliedTo |
| microsoft.directory/conditionalAccessPolicies/standard/read | Čtení podmíněného přístupu pro zásady |
| microsoft.directory/conditionalAccessPolicies/owners/read | Přečtěte si vlastníky zásad podmíněného přístupu. |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Přečtěte si vlastnost "použito na" pro zásady podmíněného přístupu. |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Čtení všech prostředků v Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
| microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.protectionCenter/allEntities/standard/read | Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Čtení všech vlastností datových částí útoku v simulátoru útoku |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Přečtěte si zprávy o simulaci útoku, reakcích a souvisejícím trénování. |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Čtení všech vlastností šablon simulace útoku v simulátoru útoku |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce podpory služeb
Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv v Azure Portal a Centrum pro správu Microsoftu 365. Další informace najdete v tématu Informace o rolích správců v Centrum pro správu Microsoftu 365.
Poznámka
Tato role se dříve jmenovala Správce služeb v Azure Portal a Centrum pro správu Microsoftu 365. Byla přejmenována na Správce podpory služeb, aby odpovídala stávajícímu názvu v Microsoft Graph API a Azure AD PowerShellu.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce SharePointu
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Informace o rolích správců v Centrum pro správu Microsoftu 365.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název Správce služby SharePoint. V Azure Portal má název Správce SharePointu.
Poznámka
Tato role také uděluje vymezená oprávnění Graph API Microsoftu pro Microsoft Intune, což umožňuje správu a konfiguraci zásad souvisejících s prostředky SharePointu a OneDrivu.
| Akce | Popis |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/create | Vytváření skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoft 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Vytvoření a odstranění všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce Skype pro firmy
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba k dispozici, a také spravovat atributy uživatelů specifické pro Skype v Azure Active Directory. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams, jinak nemůže spouštět rutiny PowerShellu pro Teams. Další informace najdete v tématu informace o licencování Skype pro firmy Online Správa a Teams na webu Skype pro firmy licencování doplňků.
Poznámka
V prostředí Microsoft Graph API a Azure AD PowerShell má tato role název Správce služeb Lyncu. V Azure Portal má název Skype pro firmy Administrator.
| Akce | Popis |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Teams
Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams & Skype pro firmy a příslušných modulů PowerShellu. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonem, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/create | Vytváření skupin Microsoftu 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoft 365 s výjimkou skupin s přiřazením rolí |
| microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.teams/allEntities/allVlastnosti/allTasks | Správa všech prostředků v Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizace nastavení schůzek Teams mezi cloudy výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvoření zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizace nastavení schůzek teams mezi cloudy pro zásady přístupu mezi tenanty pro partnery |
Správce komunikace v Teams
Uživatelé v této roli můžou spravovat aspekty úlohy Microsoft Teams související s hlasovou & telefonií. To zahrnuje nástroje pro správu přiřazování telefonních čísel, hlasové zásady a zásady schůzek a úplný přístup k sadě nástrojů pro analýzu hovorů.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytvoření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
| microsoft.teams/meetings/allVlastnosti/allTasks | Správa schůzek, včetně zásad schůzek, konfigurací a konferenčních mostů |
| microsoft.teams/voice/allVlastnosti/allTasks | Správa hlasových hovorů, včetně zásad volání a inventáře a přiřazení telefonních čísel |
Technik podpory komunikace v Teams
Uživatelé v této roli můžou řešit problémy s komunikací v rámci Microsoft Teams & Skype pro firmy pomocí nástrojů pro řešení potíží s uživatelskými voláními v Centru pro správu Microsoft Teams & Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu volání pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
Specialista podpory komunikace v Teams
Uživatelé v této roli můžou řešit problémy s komunikací v rámci Microsoft Teams & Skype pro firmy pomocí nástrojů pro řešení potíží s uživatelskými voláními v Centru pro správu Microsoft Teams & Skype pro firmy. Uživatelé v této roli můžou ve volání zobrazit jenom podrobnosti o uživateli, který vyhledali. Tato role nemá přístup k zobrazení, vytváření ani správě lístků podpory.
| Akce | Popis |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.teams/callQuality/standard/read | Čtení základních dat na řídicím panelu kvality volání (CQD) |
Správce zařízení Teams
Uživatelé s touto rolí můžou spravovat zařízení certifikovaná pro Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení na první pohled a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, výrobce a modelu zařízení. Uživatel může změnit nastavení v zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality hovorů na zařízení.
| Akce | Popis |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.teams/devices/standard/read | Správa všech aspektů zařízení certifikovaných v Teams, včetně zásad konfigurace |
Tvůrce tenanta
Roli Tvůrce tenanta přiřaďte uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření tenantů Azure Active Directory i Azure Active Directory B2C i v případě, že je v uživatelských nastaveních vypnutý přepínač pro vytváření tenantů
Poznámka
Tvůrcům tenantů se přiřadí role Globální správce u nových tenantů, které vytvoří.
| Akce | Popis |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Vytváření nových tenantů v Azure Active Directory |
Čtenář souhrnných sestav využití
Uživatelé s touto rolí mají přístup k agregovaným datům na úrovni tenanta a souvisejícím přehledům v Centrum pro správu Microsoftu 365 pro skóre využití a produktivity, ale nemají přístup k žádným podrobnostem nebo přehledům na úrovni uživatele. V Centrum pro správu Microsoftu 365 pro tyto dvě sestavy rozlišujeme agregovaná data na úrovni tenanta a podrobnosti na úrovni uživatele. Tato role poskytuje další vrstvu ochrany dat jednotlivých uživatelů, která je identifikovatelná, což požadovali zákazníci i právní týmy.
| Akce | Popis |
|---|---|
| microsoft.office365.network/performance/allVlastnosti/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav Office 365 využití na úrovni tenanta |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce uživatelů
Přiřaďte roli Správce uživatelů uživatelům, kteří potřebují:
| Oprávnění | Další informace |
|---|---|
| Vytvoření uživatelů | |
| Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců | Kdo může provádět citlivé akce |
| Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele | Kdo může provádět citlivé akce |
| Zakázání nebo povolení některých uživatelů | Kdo může provádět citlivé akce |
| Odstranění nebo obnovení některých uživatelů | Kdo může provádět citlivé akce |
| Vytvářet a spravovat zobrazení uživatelů | |
| Vytvoření a správa všech skupin | |
| Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců | |
| Resetování hesel | Kdo může resetovat hesla |
| Zneplatnění obnovovacích tokenů | Kdo může resetovat hesla |
| Aktualizace klíčů zařízení (FIDO) | |
| Aktualizace zásad vypršení platnosti hesla | |
| Vytváření a správa lístků podpory v Azure a v Centrum pro správu Microsoftu 365 | |
| Monitorování stavu služby |
Uživatelé s touto rolí nemůžou provádět následující akce:
- Nejde spravovat vícefaktorové ověřování.
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny s možností přiřazení rolí.
- Nelze spravovat sdílené poštovní schránky.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro osoby, které můžou mít přístup k citlivým nebo soukromým informacím nebo k důležité konfiguraci uvnitř i mimo službu Azure Active Directory. Změna hesla uživatele může znamenat možnost předpokládat jeho identitu a oprávnění. Příklad:
- Vlastníci registrace aplikací a podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v Azure AD a jinde, které nejsou udělené správcům uživatelů. Prostřednictvím této cesty může správce uživatelů převzít identitu vlastníka aplikace a pak dále převzít identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří mohou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupina zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure AD i jinde.
- Správci v jiných službách mimo Azure AD, jako jsou Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
| Akce | Popis |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Správa kontrol přístupu přiřazení rolí aplikace v Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Čtení všech vlastností kontrol přístupu pro přiřazení rolí Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualizace všech vlastností kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí. |
| microsoft.directory/accessReviews/definitions.groups/create | Vytvořte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Přečtěte si všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí. |
| microsoft.directory/contacts/create | Vytvoření kontaktů |
| microsoft.directory/contacts/delete | Odstranit kontakty |
| microsoft.directory/contacts/basic/update | Aktualizace základních vlastností kontaktů |
| microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
| microsoft.directory/deletedItems.users/restore | Obnovení obnovitelně odstraněných uživatelů do původního stavu |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Azure AD |
| microsoft.directory/groups/assignLicense | Přiřazení licencí na produkty ke skupinám pro licencování na základě skupin |
| microsoft.directory/groups/create | Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
| microsoft.directory/groups/restore | Obnovení skupin z obnovitelně odstraněného kontejneru |
| microsoft.directory/groups/basic/update | Aktualizace základních vlastností skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups/classification/update | Aktualizace vlastnosti klasifikace ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/groupType/update | Aktualizace vlastností, které by ovlivnily typ skupiny Skupiny zabezpečení a Skupiny Microsoftu 365, s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/onPremWriteBack/update | Aktualizace skupin Azure Active Directory tak, aby se zapsaly zpět do místního prostředí pomocí nástroje Azure AD Connect |
| microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups/settings/update | Aktualizace nastavení skupin |
| microsoft.directory/groups/visibility/update | Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností |
| microsoft.directory/policies/standard/read | Čtení základních vlastností zásad |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
| microsoft.directory/users/assignLicense | Správa uživatelských licencí |
| microsoft.directory/users/create | Přidání uživatelů |
| microsoft.directory/users/delete | Odstranění uživatelů |
| microsoft.directory/users/disable | Zakázání uživatelů |
| microsoft.directory/users/enable | Povolit uživatele |
| microsoft.directory/users/inviteGuest | Pozvání uživatelů typu host |
| microsoft.directory/users/invalidateAllRefreshTokens | Vynucení odhlášení zneplatněním obnovovacích tokenů uživatelů |
| microsoft.directory/users/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro uživatele |
| microsoft.directory/users/restore | Obnovení odstraněných uživatelů |
| microsoft.directory/users/basic/update | Aktualizace základních vlastností uživatelů |
| microsoft.directory/users/manager/update | Správce aktualizací pro uživatele |
| microsoft.directory/users/password/update | Resetování hesel pro všechny uživatele |
| microsoft.directory/users/photo/update | Aktualizovat fotku uživatelů |
| microsoft.directory/users/userPrincipalName/update | Aktualizace hlavního názvu uživatele (UPN) uživatelů |
| microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce virtuálních návštěv
Uživatelé s touto rolí můžou provádět následující úlohy:
- Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
- Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365 a Power BI
- Zobrazit funkce a nastavení v Centrum pro správu Microsoftu 365, ale nemůžete upravovat žádná nastavení
Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online schůzky a schůzky s videem pro zaměstnance a účastníky. Sestava využití může například ukázat, jak odesílání TEXTových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují na události.
| Akce | Popis |
|---|---|
| microsoft.virtualVisits/allEntities/allVlastnosti/allTasks | Správa a sdílení metrik a informací o virtuálních návštěvách z center pro správu nebo aplikace Virtuální návštěvy |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Viva Goals
Roli správce Viva Goals přiřaďte uživatelům, kteří potřebují provádět následující úlohy:
- Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
- Konfigurace nastavení správce Microsoft Viva Goals
- Čtení informací o tenantovi Azure AD
- Monitorování stavu služby Microsoft 365
- Vytváření a správa žádostí o služby Microsoft 365
Další informace najdete v tématech Role a oprávnění v Viva Goals a Úvod do Microsoft Viva Goals.
| Akce | Popis |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Windows 365
Uživatelé s touto rolí mají globální oprávnění k Windows 365 prostředkům, pokud je služba k dispozici. Tato role navíc obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.
Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoftu 365. To znamená, že správci nemůžou aktualizovat vlastníky nebo členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncového uživatele. Takže každá skupina Microsoft 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do jejich kvóty 250.
Roli správce Windows 365 přiřaďte uživatelům, kteří potřebují provádět následující úlohy:
- Správa Windows 365 cloudových počítačů v Microsoft Intune
- Registrace a správa zařízení v Azure AD, včetně přiřazování uživatelů a zásad
- Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
- Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa lístků podpory v Azure a v Centrum pro správu Microsoftu 365
| Akce | Popis |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Trvalé odstranění zařízení, která už nejde obnovit |
| microsoft.directory/deletedItems.devices/restore | Obnovení obnovitelně odstraněných zařízení do původního stavu |
| microsoft.directory/devices/create | Vytvoření zařízení (registrace v Azure AD) |
| microsoft.directory/devices/delete | Odstranění zařízení z Azure AD |
| microsoft.directory/devices/disable | Zakázání zařízení v Azure AD |
| microsoft.directory/devices/enable | Povolení zařízení v Azure AD |
| microsoft.directory/devices/basic/update | Aktualizace základních vlastností na zařízeních |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualizace vlastností extensionAttribute1 na extensionAttribute5 na zařízeních |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualizace vlastností extensionAttribute6 na extensionAttribute10 na zařízeních |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualizace vlastností extensionAttribute11 na extensionAttribute15 na zařízeních |
| microsoft.directory/devices/registeredOwners/update | Aktualizace registrovaných vlastníků zařízení |
| microsoft.directory/devices/registeredUsers/update | Aktualizace registrovaných uživatelů zařízení |
| microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.security/visibility/update | Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností zásad aplikací pro správu zařízení |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
| microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
| microsoft.cloudPC/allEntities/allVlastnosti/allTasks | Správa všech aspektů Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce nasazení služba Windows Update
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update for Business. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se nasadí aktualizace, a určit, které aktualizace se budou nabízet skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.
| Akce | Popis |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Čtení a konfigurace všech aspektů služby služba Windows Update Service |
Správce Yammeru
Přiřaďte roli Správce Yammeru uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Yammeru
- Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
- Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Zobrazení oznámení v Centru zpráv, ale ne oznámení zabezpečení
- Zobrazení stavu služby
| Akce | Popis |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/create | Vytváření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/delete | Odstranění skupin Microsoft 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/restore | Obnovení skupin Microsoft 365 z obnovitelně odstraněného kontejneru s výjimkou skupin s možností přiřazení role |
| microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
| microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
| microsoft.office365.network/performance/allVlastnosti/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
| microsoft.office365.yammer/allEntities/allVlastnosti/allTasks | Správa všech aspektů Yammeru |
Vysvětlení oprávnění rolí
Schéma pro oprávnění volně odpovídá formátu REST Microsoft Graphu:
<namespace>/<entity>/<propertySet>/<action>
Příklad:
microsoft.directory/applications/credentials/update
| Prvek oprávnění | Popis |
|---|---|
| namespace | Produkt nebo služba, která zpřístupňuje úlohu a je před ním .microsoft Například všechny úkoly v Azure AD používat microsoft.directory obor názvů . |
| entita | Logická funkce nebo komponenta vystavená službou v Microsoft Graphu Například Azure AD zveřejňuje uživatele a skupiny, OneNote zveřejňuje poznámky a Exchange zveřejňuje poštovní schránky a kalendáře. Pro určení všech entit v oboru názvů existuje speciální allEntities klíčové slovo. To se často používá v rolích, které udělovat přístup k celému produktu. |
| sada vlastností | Konkrétní vlastnosti nebo aspekty entity, pro kterou se uděluje přístup. Uděluje například microsoft.directory/applications/authentication/read možnost číst adresu URL odpovědi, adresu URL pro odhlášení a vlastnost implicitního toku objektu aplikace v Azure AD.
|
| action | Operace se uděluje, nejčastěji se jedná o vytvoření, čtení, aktualizaci nebo odstranění (CRUD). Pro určení všech výše uvedených možností (vytvoření, čtení, aktualizace a odstranění) existuje speciální allTasks klíčové slovo. |
Zastaralé role
Následující role by se neměly používat. Jsou zastaralé a v budoucnu se odeberou z Azure AD.
- Správce licencí AdHoc
- Připojení zařízení
- Správci zařízení
- Uživatelé zařízení
- Email ověřeného tvůrce uživatele
- Správce poštovní schránky
- Připojení k zařízení na pracovišti
Role se nezobrazují na portálu
Ne každá role vrácená prostředím PowerShell nebo ms Graph API je viditelná v Azure Portal. Následující tabulka tyto rozdíly uspořádá.
| Název rozhraní API | název Azure Portal | Poznámky |
|---|---|---|
| Připojení zařízení | Zastaralé | Dokumentace k zastaralým rolím |
| Správci zařízení | Zastaralé | Dokumentace k zastaralým rolím |
| Uživatelé zařízení | Zastaralé | Dokumentace k zastaralým rolím |
| Účty synchronizace adresářů | Nezobrazuje se, protože by se nemělo používat | Dokumentace k účtům synchronizace adresářů |
| Uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
| Podpora partnerské vrstvy 1 | Nezobrazuje se, protože by se nemělo používat | Partner Tier1 – Dokumentace podpory |
| Podpora partnerské vrstvy 2 | Nezobrazuje se, protože by se nemělo používat | Dokumentace k podpoře partnerské vrstvy 2 |
| Omezený uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
| Uživatel | Nezobrazuje se, protože se nedá použít | NA |
| Připojení k zařízení na pracovišti | Zastaralé | Dokumentace k zastaralým rolím |
Kdo může resetovat hesla
V následující tabulce jsou ve sloupcích uvedeny role, které můžou resetovat hesla a zneplatnit obnovovací tokeny. V řádcích jsou uvedeny role, pro které je možné resetovat heslo.
Následující tabulka obsahuje role přiřazené v oboru tenanta. Pro role přiřazené v rozsahu jednotky pro správu platí další omezení.
| Role, kterou je možné resetovat heslo | Správa hesel | Správa helpdesku | Správa ověřování | Správa uživatele | Správa privilegovaného ověřování | Globální správce |
|---|---|---|---|---|---|---|
| Správa ověřování | ✔️ | ✔️ | ✔️ | |||
| Čtenáři adresářů | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Globální správce | ✔️ | ✔️* | ||||
| Skupiny Správa | ✔️ | ✔️ | ✔️ | |||
| Pozvaný host | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Správa helpdesku | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Čtečka Centra zpráv | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Správa hesel | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Správa privilegovaného ověřování | ✔️ | ✔️ | ||||
| Správa privilegovaných rolí | ✔️ | ✔️ | ||||
| Čtenář sestav | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Uživatel (bez role správce) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Uživatel (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení rolí) |
✔️ | ✔️ | ||||
| Správa uživatele | ✔️ | ✔️ | ✔️ | |||
| Čtenář souhrnných sestav využití | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Všechny vlastní role | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
Důležité
Role Podpora partnera vrstvy 2 může resetovat hesla a zneplatnit obnovovací tokeny pro všechny uživatele, kteří nejsou správci a správci (včetně globálních správců). Role Podpora partnerské vrstvy 1 může resetovat hesla a zneplatnit obnovovací tokeny jenom pro uživatele, kteří nejsou správci. Tyto role by se neměly používat, protože jsou zastaralé.
Možnost resetování hesla zahrnuje možnost aktualizovat následující citlivé vlastnosti vyžadované pro samoobslužné resetování hesla:
- businessPhones
- mobilní telefon
- ostatní e-maily
Kdo může provádět citlivé akce
Někteří správci můžou u některých uživatelů provádět následující citlivé akce. Všichni uživatelé můžou číst citlivé vlastnosti.
| Citlivá akce | Název citlivé vlastnosti |
|---|---|
| Zakázání nebo povolení uživatelů | accountEnabled |
| Aktualizace telefonu do zaměstnání | businessPhones |
| Aktualizace mobilního telefonu | mobilePhone |
| Aktualizace místního neměnného ID | onPremisesImmutableId |
| Aktualizace dalších e-mailů | otherMails |
| Aktualizace profilu hesla | passwordProfile |
| Aktualizace hlavního názvu uživatele | userPrincipalName |
| Odstranění nebo obnovení uživatelů | Nelze použít |
V následující tabulce jsou ve sloupcích uvedené role, které můžou provádět citlivé akce. Řádky uvádějí role, pro které je možné provést citlivou akci.
Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v rozsahu jednotky pro správu platí další omezení.
| Role, u které je možné provést citlivou akci | Správa ověřování | Správa uživatele | Správa privilegovaného ověřování | Globální správce |
|---|---|---|---|---|
| Správa ověřování | ✔️ | ✔️ | ✔️ | |
| Čtenáři adresářů | ✔️ | ✔️ | ✔️ | ✔️ |
| Globální správce | ✔️ | ✔️ | ||
| Správa skupin | ✔️ | ✔️ | ✔️ | |
| Odesílatel pozvánek hostů | ✔️ | ✔️ | ✔️ | ✔️ |
| Správa helpdesku | ✔️ | ✔️ | ✔️ | |
| Čtenář Centra zpráv | ✔️ | ✔️ | ✔️ | ✔️ |
| Správa hesel | ✔️ | ✔️ | ✔️ | ✔️ |
| Správa privilegovaného ověřování | ✔️ | ✔️ | ||
| Správa privilegovaných rolí | ✔️ | ✔️ | ||
| Čtenář sestav | ✔️ | ✔️ | ✔️ | ✔️ |
| Uživatel (bez role správce) |
✔️ | ✔️ | ✔️ | ✔️ |
| Uživatel (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení rolí) |
✔️ | ✔️ | ||
| Správa uživatele | ✔️ | ✔️ | ✔️ | |
| Čtenář souhrnných sestav využití | ✔️ | ✔️ | ✔️ | ✔️ |
| Všechny vlastní role | ✔️ | ✔️ | ✔️ | ✔️ |