Ingebouwde Azure AD-rollen

Als in Azure Active Directory (Azure AD) een andere beheerder of niet-beheerder Azure AD-resources moet beheren, wijst u hem/haar een Azure AD-rol toe die de benodigde machtigingen biedt. U kunt bijvoorbeeld rollen toewijzen waarmee gebruikers toegevoegd of gewijzigd, gebruikerswachtwoorden opnieuw ingesteld, gebruikerslicenties beheerd of domeinnamen beheerd kunnen worden.

In dit artikel worden de ingebouwde Azure AD-rollen vermeld die u kunt toewijzen om beheer van Azure AD-resources toe te staan. Zie Azure AD-rollen toewijzen aan gebruikers voor meer informatie over het toewijzen van rollen. Zie Ingebouwde Azure-rollen als u op zoek bent naar rollen voor het beheren van Azure-resources.

Alle rollen

Rol Beschrijving Sjabloon-id
Toepassingsbeheerder Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Toepassingsontwikkelaar Kan toepassingsregistraties maken, ongeacht de instelling voor 'Gebruikers kunnen toepassingen registreren'. cf1c38e5-3621-4004-a7cb-879624dced7c
Auteur van aanvalspayload Kan aanvalspayloads maken die een beheerder later kan starten. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Beheerder van aanvalssimulatie Kan alle aspecten van simulatiecampagnes voor aanvallen maken en beheren. c430b396-e693-46cc-96f3-db01bf8bb62a
Beheerder van kenmerktoewijzing Kan sleutels en waarden voor aangepaste beveiligingskenmerken toewijzen aan ondersteunde Azure AD-objecten. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lezer van kenmerktoewijzing Kan sleutels en waarden voor aangepaste beveiligingskenmerken lezen voor ondersteunde Azure AD-objecten. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Beheerder van kenmerkdefinitie Kan de definitie van aangepaste beveiligingskenmerken definiëren en beheren. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lezer van kenmerkdefinitie Kan de definitie van aangepaste beveiligingskenmerken lezen. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Verificatiebeheerder Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker die geen beheerder is. c4e39bd9-1100-46d3-8c65-fb160da0071f
Beheerder van verificatiebeleid Kan het beleid voor verificatiemethoden, tenantbrede MFA-instellingen, wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Lokale beheerder voor Azure AD-gekoppelde apparaten Gebruikers aan wie deze rol is toegewezen, worden toegevoegd aan de lokale beheerdersgroep op Azure AD-gekoppelde apparaten. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps-beheerder Kan Azure DevOps-beleid en -instellingen beheren. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection-beheerder Kan alle aspecten van het Azure Information Protection-product beheren. 7495fdc4-34c4-4d15-a289-98788ce399fd
Beheerder van B2C IEF-sleutelset Kan geheimen voor federatie en versleuteling in Identity Experience Framework (IEF) beheren. aaf43236-0c0d-4d5f-883a-6955382ac081
Beheerder van B2C IEF-beleid Kan beleid voor het vertrouwensframework in Identity Experience Framework (IEF) maken en beheren. 3edaf663-341e-4475-9f94-5c398ef6c070
Factureringsbeheerder Kan algemene taken met betrekking tot facturering uitvoeren, zoals betalingsgegevens bijwerken. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security-beheerder Kan alle aspecten van het Defender for Cloud Apps-product beheren. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Beheerder van de cloudtoepassing Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren, behalve App Proxy. 158c047a-c907-4556-b7ef-446551a6b5f7
Cloudapparaatbeheerder Heeft beperkte toegang voor het beheren van apparaten in Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Beheerder voor naleving Kan de nalevingsconfiguratie en -rapporten lezen en beheren in Azure AD en Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Beheerder voor nalevingsgegevens Kan nalevingsinhoud maken en beheren. e6d1a23a-da11-4be4-9570-befc86d067a7
Beheerder van voorwaardelijke toegang Kan de mogelijkheden van voorwaardelijke toegang beheren. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Toegangsfiatteur voor Klanten-lockbox Kan Microsoft-ondersteuningsaanvragen voor toegang tot bedrijfsgegevens van klanten goedkeuren. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics-beheerder Heeft toegang tot bureaubladbeheerhulpprogramma's en -services en kan deze beheren. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Lezers van mappen Kunnen basisdirectorygegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Adreslijstsynchronisatieaccounts Alleen gebruikt door de Azure AD Connect-service. d29b2b05-8046-44ba-8758-1e26182fcf32
Adreslijstschrijvers Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. 9360feb5-f418-4baa-8175-e2a00bac4301
Beheerder van domeinnamen Kan domeinnamen in de cloud en on-premises beheren. 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365-beheerder Kan alle aspecten van het Dynamics 365-product beheren. 44367163-eba1-44c3-98af-f5787879f96a
Edge-beheerder Kan alle aspecten van Microsoft Edge beheren. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange-beheerder Kan alle aspecten van het Exchange-product beheren. 29232cdf-9323-42fd-ade2-1d097af3e4de
Beheerder van Exchange-ontvangers Kan Exchange Online-ontvangers maken of bijwerken binnen de Exchange Online-organisatie. 31392ffb-586c-42d1-9346-e59415a2cc4e
Beheerder van externe id-gebruikersstromen Kan alle aspecten van gebruikersstromen maken en beheren. 6e591065-9bad-43ed-90f3-e9424366d2f0
Beheerder van externe id-gebruikersstroomkenmerken Kan het kenmerkschema dat beschikbaar is voor alle gebruikersstromen, maken en beheren. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Beheerder van externe id-providers Kan id-providers voor gebruik in directe federatie configureren. be2f45a1-457d-42af-a067-6ec1fa63bc45
Globale beheerder Kan alle aspecten beheren van Azure AD en Microsoft-services die Azure AD-identiteiten gebruiken. 62e90394-69f5-4237-9190-012177145e10
Globale lezer Kan alles lezen wat een globale beheerder kan lezen, maar kan niets bijwerken. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Groepsbeheerder Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. fdd7a751-b60b-444a-984c-02652fe8fa1c
Afzender van gastuitnodigingen Kan onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen' gastgebruikers uitnodigen. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Helpdeskbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybrid Identity-beheerder Kan cloudinrichting van AD naar Azure AD, Azure AD Connect, pass-through-verificatie (PTA), hash-synchronisatie wachtwoord (PHS), naadloze eenmalige aanmelding (naadloze SSO) en federatie-instellingen beheren. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance-beheerder Beheert de toegang met behulp van Azure AD voor identiteitbeheerscenario's. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights-beheerder Heeft beheerderstoegang in de Microsoft 365 Insights-app. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights-analist Heeft toegang tot de analytische mogelijkheden in Microsoft Viva Insights en voert aangepaste query's uit. 25df335f-86eb-4119-b717-0ff02de207e9
Insights-bedrijfsleider Kan dashboards en inzichten bekijken en delen via de Microsoft 365 Insights-app. 31e939ad-9672-4796-9c2e-873181342d2d
Intune-beheerder Kan alle aspecten van het Intune-product beheren. 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala-beheerder Kan instellingen voor Microsoft Kaizala beheren. 74ef975b-6605-40af-a5d2-b9539d836353
Kennisbeheerder Kan kennis, leren en andere intelligente functies configureren. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Kennismanager Kan onderwerpen en kennis organiseren, maken, beheren en promoten. 744ec460-397e-42ad-a462-8b3f9747a02c
Licentiebeheerder Kan productlicenties voor gebruikers en groepen beheren. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Beheerder van levenscycluswerkstromen Kan alle aspecten maken en beheren van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Berichtencentrum-privacylezer Kan alleen beveiligingsberichten en -updates lezen in het Office 365-berichtencentrum. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Berichtencentrum-lezer Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft hardwaregarantiebeheerder Maak en beheer alle aspecten garantieclaims en rechten voor Microsoft geproduceerde hardware, zoals Surface en HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft hardwaregarantiespecialist Garantieclaims maken en lezen voor Microsoft geproduceerde hardware, zoals Surface en HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Moderne Commerce-gebruiker Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. d24aef57-1500-4070-84db-2666f29cf966
Netwerkbeheerder Kan netwerklocaties beheren en inzichten in bedrijfsnetwerkontwerp bekijken voor Microsoft 365 Software as a Service-toepassingen. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Beheerder van Office-apps Kan cloudservices voor Office-apps beheren, waaronder beheer van beleid en instellingen. Kan tevens de mogelijkheid beheren om inhoud van de functie 'wat is er nieuw' te selecteren, de selectie van inhoud op te heffen en inhoud te publiceren naar apparaten van eindgebruikers. 2b745bdf-0803-4d80-aa65-822c4493daac
Schrijver van organisatieberichten Schrijf, publiceer, beheer en controleer de organisatieberichten voor eindgebruikers via Microsoft productoppervlakken. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Laag1-ondersteuning voor partner Niet gebruiken – niet bedoeld voor algemeen gebruik. 4ba39ca4-527c-499a-b93d-d9b492c50246
Laag2-ondersteuning voor partner Niet gebruiken – niet bedoeld voor algemeen gebruik. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Wachtwoordbeheerder Kan wachtwoorden voor niet-beheerders en wachtwoordbeheerders opnieuw instellen. 966707d0-3269-4727-9be2-8c3a10f19b9d
Beheerder van machtigingenbeheer Alle aspecten van Entra-machtigingenbeheer beheren. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power BI-beheerder Kan alle aspecten van het Power BI-product beheren. a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform-beheerder Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate maken en beheren. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Printerbeheerder Kan alle aspecten van printers en printerconnectors beheren. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Printertechnicus Kan printers registreren, de registratie hiervan ongedaan maken en de printerstatus bijwerken. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Bevoorrechte verificatiebeheerder Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker (beheerder of niet-beheerder). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Beheerder voor bevoorrechte rollen Kan roltoewijzingen in Azure AD en alle aspecten van Privileged Identity Management beheren. e8611ab8-c189-46e8-94e1-60213ab1f814
Rapportenlezer Kan aanmeldings- en auditrapporten lezen. 4a5d8f65-41da-4de4-8968-e035b65339cf
Zoekbeheerder Kan alle aspecten van Microsoft Search-instellingen maken en beheren. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Zoekredacteur Kan de redactionele inhoud maken en beheren, zoals bladwijzers, vragen en antwoorden, locaties en plattegronden. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Beveiligingsbeheerder Kan beveiligingsgegevens en -rapporten lezen en configuratie beheren in Azure AD en Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Beveiligingsoperator Kan beveiligingsgebeurtenissen maken en beheren. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Beveiligingslezer Kan beveiligingsgegevens en -rapporten lezen in Azure AD en Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Serviceondersteuningsbeheerder Kan gegevens over de servicestatus lezen en ondersteuningstickets beheren. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint-beheerder Kan alle aspecten van de SharePoint-service beheren. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype voor Bedrijven-beheerder Kan alle aspecten van het Skype voor Bedrijven-product beheren. 75941009-915a-4869-abe7-691bff18279e
Teams-beheerder Kan de Microsoft Teams-service beheren. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams-communicatiebeheerder Kan de aanroep- en vergaderfuncties van de Microsoft Teams-service beheren. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Ondersteuningstechnicus voor Teams-communicatie Kan communicatieproblemen in Teams oplossen met geavanceerde hulpprogramma's. f70938a0-fc10-4177-9e90-2178f8765737
Ondersteuningsspecialist voor Teams-communicatie Kan communicatieproblemen in Teams oplossen met basishulpprogramma's. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams-apparaatbeheerder Kan beheertaken uitvoeren op voor Teams gecertificeerde apparaten. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Tenantmaker Maak nieuwe Azure AD- of Azure AD B2C-tenants. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lezer van gebruiksoverzichtsrapporten Kan alleen aggregaties op tenantniveau bekijken in Gebruiksanalyse en Productiviteitsscore van Microsoft 365. 75934031-6c7e-415a-99d7-48dbd49e875e
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. fe930be7-5e62-47db-91af-98c3a49a38b1
Beheerder voor virtuele bezoeken Kan informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Windows 365-beheerder Kan alle aspecten van cloud-pc's inrichten en beheren. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update-implementatiebeheerder Kan alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer-beheerder Kan alle aspecten van de Yammer-service beheren. 810a2642-a034-447f-a5e8-41beaa378541

Toepassingsbeheerder

Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol biedt ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Microsoft Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen van (d.w.z. toestemming geven voor) deze machtigingen vereist een meer bevoegde beheerder, zoals een globale beheerder.

Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor toestemmingsaanvraag voor beheerders beheren in Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Azure AD
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/applicationProxy/read Alle eigenschappen van de toepassingsproxy lezen
microsoft.directory/applications/applicationProxy/update Alle eigenschappen van de toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxyAuthentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/applicationProxySslCertificate/update SSL-certificaatinstellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxyUrlSettings/update URL-instellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update De eigenschap applicationsverification bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/connectors/create Toepassingsproxyconnectors maken
microsoft.directory/connectors/allProperties/read Alle eigenschappen van de connectors van de toepassingsproxy lezen
microsoft.directory/connectorGroups/create Connectorgroepen voor de toepassingsproxy maken
microsoft.directory/connectorGroups/delete Connectorgroepen voor de toepassingsproxy verwijderen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van de connectorgroepen van de toepassingsproxy bijwerken
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Aangepaste verificatie-extensies maken en beheren
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleidsregels maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleidsregels verwijderen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/owners/read De eigenaren van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/policyAppliedTo/read De toepassingsbeleidsregels lezen die op de objectenlijst zijn toegepast
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleidsregels bijwerken
microsoft.directory/applicationPolicies/owners/update De eigenschap voor eigenaren van toepassingsbeleidsregels bijwerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor toepassingsinrichting starten, herstarten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor toepassingsinrichting maken en beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Toepassingsontwikkelaar

Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee. Deze rol biedt ook de mogelijkheid om namens zichzelf toestemming te geven wanneer de instelling 'Gebruikers kunnen toestaan dat apps namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.

Acties Beschrijving
microsoft.directory/applications/createAsOwner Alle typen toepassingen maken, en de maker wordt toegevoegd als de eerste eigenaar
microsoft.directory/oAuth2PermissionGrants/createAsOwner OAuth 2.0-machtigingsverlening maken, met maker als eerste eigenaar
microsoft.directory/servicePrincipals/createAsOwner Service-principals maken, met maker als eerste eigenaar

Auteur van aanvalspayload

Gebruikers met deze rol kunnen aanvalspayloads maken, maar kunnen de payloads niet starten of plannen. De aanvalspayloads zijn vervolgens beschikbaar voor alle beheerders in de tenant, die de payloads kunnen gebruiken om een simulatie te maken.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training

Beheerder van aanvalssimulatie

Gebruikers met deze rol kunnen alle aspecten van het maken van aanvalssimulaties, het starten/plannen van een simulatie en het beoordelen van de simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie

Beheerder van kenmerktoewijzing

Gebruikers met deze rol kunnen sleutels en waarden voor aangepaste beveiligingskenmerken toewijzen en verwijderen voor ondersteunde Azure AD-objecten, zoals gebruikers, service-principals en apparaten.

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen
microsoft.directory/devices/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen
microsoft.directory/devices/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor apparaten bijwerken
microsoft.directory/servicePrincipals/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen
microsoft.directory/servicePrincipals/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor service-principals bijwerken
microsoft.directory/users/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen
microsoft.directory/users/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor gebruikers bijwerken

Lezer van kenmerktoewijzing

Gebruikers met deze rol kunnen sleutels en waarden voor aangepaste beveiligingskenmerken lezen voor ondersteunde Microsoft Azure Active Directory-objecten.

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen
microsoft.directory/devices/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen
microsoft.directory/servicePrincipals/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen
microsoft.directory/users/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen

Beheerder van kenmerkdefinitie

Gebruikers met deze rol kunnen een geldige set aangepaste beveiligingskenmerken definiëren die kunnen worden toegewezen aan ondersteunde Azure AD-objecten. Met deze rol kunnen ook aangepaste beveiligingskenmerken worden geactiveerd en gedeactiveerd.

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/allTasks Alle aspecten van kenmerksets beheren
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren

Lezer van kenmerkdefinitie

Gebruikers met deze rol kunnen de definitie van aangepaste beveiligingskenmerken lezen.

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Azure AD voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen

Verificatiebeheerder

Wijs de rol Verificatiebeheerder toe aan gebruikers die het volgende moeten doen:

  • Een verificatiemethode (inclusief wachtwoorden) instellen of opnieuw instellen voor niet-beheerders en sommige rollen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een verificatiebeheerder verificatiemethoden kan lezen of bijwerken.
  • Gebruikers die niet-beheerders zijn of die zijn toegewezen aan bepaalde rollen, verplichten zich opnieuw te registreren met bestaande referenties zonder wachtwoord (bijvoorbeeld MFA of FIDO), en kunnen ook MFA onthouden op het apparaat intrekken, waardoor bij de volgende aanmelding om MFA wordt gevraagd.
  • Voer gevoelige acties uit voor sommige gebruikers. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een groep waaraan rollen kunnen worden toegewezen.
  • Kan geen MFA-instellingen beheren in de verouderde MFA-beheerportal of hardware-OATH-tokens. Dezelfde functies kunnen worden uitgevoerd met behulp van de cmdlet Set-MsolUser in de Azure AD PowerShell-module.

In de volgende tabel worden de mogelijkheden van deze rol vergeleken met gerelateerde rollen.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nee Nee Ja Ja Ja Nee Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders die niet worden verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, het Office 365-centrum voor beveiliging en naleving, en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van verificatiebeleid

Wijs de rol Verificatiebeleidbeheerder toe aan gebruikers die het volgende moeten doen:

  • Configureer het beleid voor verificatiemethoden, tenantbrede MFA-instellingen en wachtwoordbeveiligingsbeleid waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
  • Instellingen voor wachtwoordbeveiliging beheren: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.
  • Controleerbare referenties maken en beheren.
  • Maak en beheer ondersteuning voor Azure tickets.

Gebruikers met deze rol kunnen het volgende niet doen:

In de volgende tabel worden de mogelijkheden van deze rol vergeleken met gerelateerde rollen.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nee Nee Ja Ja Ja Nee Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Acties Beschrijving
microsoft.directory/organization/strongAuthentication/allTasks Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren
microsoft.directory/userCredentialPolicies/create Referentiebeleid voor gebruikers maken
microsoft.directory/userCredentialPolicies/delete Referentiebeleid voor gebruikers verwijderen
microsoft.directory/userCredentialPolicies/standard/read Standaardeigenschappen van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/owners/read Eigenaren van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Navigatiekoppeling policy.appliesTo lezen
microsoft.directory/userCredentialPolicies/basic/update Basisbeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/owners/update Eigenaren van referentiebeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/tenantDefault/update Eigenschap policy.isOrganizationDefault bijwerken
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een kaart met verifieerbare referenties intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een contract met verifieerbare referenties maken
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een contract met verifieerbare referenties bijwerken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren

Lokale beheerder voor Azure AD-gekoppelde apparaten

Deze rol is alleen beschikbaar voor toewijzing als aanvullende lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale computerbeheerders op alle Windows 10-apparaten die zijn gekoppeld aan Azure Active Directory. Ze hebben niet de mogelijkheid om apparaatobjecten te beheren in Azure Active Directory.

Acties Beschrijving
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor sjablonen voor groepsinstellingen lezen

Azure DevOps-beheerder

Gebruikers met deze rol kunnen alle Azure DevOps-beleidsregels voor ondernemingen beheren die van toepassing zijn op alle Azure DevOps-organisaties die worden ondersteund door Azure AD. Gebruikers met deze rol kunnen deze beleidsregels beheren door te navigeren naar een Azure DevOps-organisatie die wordt ondersteund door de Azure AD van het bedrijf. Daarnaast kunnen gebruikers met deze rol eigendom van zwevende Azure DevOps-organisaties claimen. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld Beheerders van projectverzamelingen) binnen een van de Azure DevOps-organisaties die worden ondersteund door de Azure AD van het bedrijf.

Acties Beschrijving
microsoft.azure.devOps/allEntities/allTasks Azure DevOps lezen en configureren

Azure Information Protection-beheerder

Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection-service. Met deze rol kunt u labels configureren voor het Azure Information Protection-beleid, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in het Identity Protection Center, Privileged Identity Management, Microsoft 365-servicestatus bewaken of het Office 365-centrum voor beveiliging en naleving.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van B2C IEF-sleutelset

Gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder geheimen indien nodig verlengen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs nadat ze zijn gemaakt.

Belangrijk

Dit is een gevoelige rol. De rol Sleutelsetbeheerder moet zorgvuldig worden gecontroleerd en met zorg worden toegewezen tijdens preproductie en productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Sleutelsets in Azure Active Directory B2C lezen en configureren

Beheerder van B2C IEF-beleid

Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over het Identity Experience Framework in de relevante Azure AD B2C-organisatie. Door beleidsregels te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersgerichte inhoud (HTML, CSS, JavaScript) wijzigen, de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens (inclusief volledige migraties) verzenden naar externe systemen en alle gebruikersgegevens bewerken, inclusief gevoelige velden zoals wachtwoorden en telefoonnummers. Omgekeerd kan deze rol niet de versleutelingssleutels wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.

Belangrijk

De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauw worden gecontroleerd, met name voor organisaties in productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Aangepaste beleidsregels in Azure Active Directory B2C lezen en configureren

Factureringsbeheerder

Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.

Acties Beschrijving
microsoft.directory/organization/basic/update Basiseigenschappen voor organisatie bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.commerce.billing/allEntities/allProperties/allTasks Alle aspecten van Office 365-facturering beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Cloud App Security-beheerder

Gebruikers met deze rol hebben volledige machtigingen in Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen voor Microsoft Defender for Cloud Apps toevoegen, logboeken uploaden en beheeracties uitvoeren.

Acties Beschrijving
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van de cloudtoepassing

Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Deze rol biedt de mogelijkheid om alle aspecten van bedrijfstoepassingen en toepassingsregistraties te maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol biedt ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Microsoft Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen van (d.w.z. toestemming geven voor) deze machtigingen vereist een meer bevoegde beheerder, zoals een globale beheerder.

Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor toestemmingsaanvraag voor beheerders beheren in Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Azure AD
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update De eigenschap applicationsverification bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleidsregels maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleidsregels verwijderen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/owners/read De eigenaren van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/policyAppliedTo/read De toepassingsbeleidsregels lezen die op de objectenlijst zijn toegepast
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleidsregels bijwerken
microsoft.directory/applicationPolicies/owners/update De eigenschap voor eigenaren van toepassingsbeleidsregels bijwerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor toepassingsinrichting starten, herstarten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor toepassingsinrichting maken en beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Cloudapparaatbeheerder

Gebruikers met deze rol kunnen apparaten in Azure AD inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels lezen (indien aanwezig) in de Azure-portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.

Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/deletedItems.devices/delete Apparaten die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/devices/delete Apparaten verwijderen uit Azure AD
microsoft.directory/devices/disable Apparaten uitschakelen in Azure AD
microsoft.directory/devices/enable Apparaten inschakelen in Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen voor toepassingsbeleidsregels voor apparaatbeheer bijwerken
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren

Beheerder voor naleving

Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsgerelateerde functies in de Microsoft Purview-nalevingsportal, het Microsoft 365-beheercentrum, Azure en het Office 365-centrum voor beveiliging en naleving. Toegewezen personen kunnen ook alle functies beheren in het Exchange-beheercentrum en het beheercentrum van Teams en Skype voor Bedrijven en ondersteuningstickets maken voor Azure en Microsoft 365. Meer informatie vindt u op Over Microsoft 365-beheerdersrollen.

In Wel
Microsoft Purview-nalevingsportal De gegevens van uw organisatie beveiligen en beheren in Microsoft 365-services
Nalevingswaarschuwingen beheren
Compliance Manager De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren
Office 365-centrum voor beveiliging en naleving Gegevensbeheer beheren
Juridisch en gegevensonderzoek uitvoeren
Aanvraag van betrokkene beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Beheerder voor naleving in op rollen gebaseerd toegangsbeheer van het Office 365-centrum voor beveiliging en naleving.
Intune Alle Intune-controlegegevens bekijken
Microsoft Defender for Cloud Apps Heeft alleen-lezen machtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor nalevingsgegevens

Gebruikers met deze rol hebben machtigingen voor het bijhouden van gegevens in de Microsoft Purview-nalevingsportal, het Microsoft 365-beheercentrum en Azure. Gebruikers kunnen ook nalevingsgegevens bijhouden in het Exchange-beheercentrum, Compliancebeheer en het beheercentrum van Teams en Skype voor Bedrijven en ondersteuningstickets maken voor Azure en Microsoft 365. Deze documentatie bevat informatie over verschillen tussen Compliancebeheer en Beheerder voor nalevingsgegevens.

In Wel
Microsoft Purview-nalevingsportal Nalevingsgerelateerde beleidsregels bewaken in Microsoft 365-services
Nalevingswaarschuwingen beheren
Compliance Manager De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren
Office 365-centrum voor beveiliging en naleving Gegevensbeheer beheren
Juridisch en gegevensonderzoek uitvoeren
Aanvraag van betrokkene beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Beheerder voor nalevingsgegevens in op rollen gebaseerd toegangsbeheer van het Office 365-centrum voor beveiliging en naleving.
Intune Alle Intune-controlegegevens bekijken
Microsoft Defender for Cloud Apps Heeft alleen-lezen machtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken
Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van voorwaardelijke toegang

Gebruikers met deze rol kunnen Azure Active Directory-instellingen voor voorwaardelijke toegang beheren.

Acties Beschrijving
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/standard/read Beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read De eigenschap 'toegepast op' lezen voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken

Toegangsfiatteur voor Klanten-lockbox

Beheert Klanten-lockbox-aanvragen in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox-aanvragen en kunnen aanvragen van het Microsoft 365-beheercentrum goedkeuren en weigeren. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden van personen die aan deze rol zijn toegewezen, opnieuw instellen.

Acties Beschrijving
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Desktop Analytics-beheerder

Gebruikers met deze rol kunnen de Desktop Analytics-service beheren. Dit omvat de mogelijkheid om de assetvoorraad te bekijken, implementatieplannen te maken en de implementatie- en gezondheidsstatus te bekijken.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van Desktop Analytics beheren

Lezers van mappen

Gebruikers met deze rol kunnen basisdirectorygegevens lezen Deze rol moet worden gebruikt voor:

  • Het verlenen van leestoegang aan een specifieke set gastgebruikers in plaats van aan alle gastgebruikers.
  • Het verlenen van toegang tot de Azure-portal aan een specifieke set niet-beheerders wanneer 'Toegang tot Azure AD-portal beperken tot beheerders' is ingesteld op Ja.
  • Het verlenen van toegang tot directory aan service-principals waarbij Directory.Read.All geen optie is.
Acties Beschrijving
microsoft.directory/administrativeUnits/standard/read Basiseigenschappen voor beheereenheden lezen
microsoft.directory/administrativeUnits/members/read Leden van beheereenheden lezen
microsoft.directory/applications/standard/read Standaardeigenschappen van toepassingen lezen
microsoft.directory/applications/owners/read Eigenaren van toepassingen lezen
microsoft.directory/applications/policies/read Beleid van toepassingen lezen
microsoft.directory/contacts/standard/read Basiseigenschappen voor contactpersonen in Azure AD lezen
microsoft.directory/contacts/memberOf/read Het groepslidmaatschap voor alle contactpersonen in Azure AD lezen
microsoft.directory/contracts/standard/read Basiseigenschappen voor partnercontracten lezen
microsoft.directory/devices/standard/read Basiseigenschappen voor apparaten lezen
microsoft.directory/devices/memberOf/read Apparaatlidmaatschappen lezen
microsoft.directory/devices/registeredOwners/read Geregistreerde eigenaren van apparaten lezen
microsoft.directory/devices/registeredUsers/read Geregistreerde gebruikers van apparaten lezen
microsoft.directory/directoryRoles/standard/read Basiseigenschappen in Azure AD-rollen lezen
microsoft.directory/directoryRoles/eligibleMembers/read De in aanmerking komende leden van Azure AD-rollen lezen
microsoft.directory/directoryRoles/members/read Alle leden van Azure AD-rollen lezen
microsoft.directory/domains/standard/read Basiseigenschappen voor domeinen lezen
microsoft.directory/groups/standard/read Standaardeigenschappen van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/appRoleAssignments/read Toewijzingen van toepassingsrollen van groepen lezen
microsoft.directory/groups/memberOf/read De eigenschap memberOf lezen voor beveiligingsgroepen en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/read Leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/read Eigenaren van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/read Instellingen van groepen lezen
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor sjablonen voor groepsinstellingen lezen
microsoft.directory/oAuth2PermissionGrants/standard/read Basiseigenschappen voor OAuth 2.0-machtigingsverlening lezen
microsoft.directory/organization/standard/read Basiseigenschappen voor een organisatie lezen
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Vertrouwde certificeringsinstanties voor verificatie zonder wachtwoord lezen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/roleAssignments/standard/read Basiseigenschappen voor roltoewijzingen lezen
microsoft.directory/roleDefinitions/standard/read Basiseigenschappen voor roldefinities lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Roltoewijzingen van service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignments/read Roltoewijzingen lezen die aan service-principals zijn toegewezen
microsoft.directory/servicePrincipals/standard/read Basiseigenschappen van service-principals lezen
microsoft.directory/servicePrincipals/memberOf/read De groepslidmaatschappen voor service-principals lezen
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Gedelegeerde machtigingsverleningen van service-principals lezen
microsoft.directory/servicePrincipals/owners/read Eigenaren van service-principals lezen
microsoft.directory/servicePrincipals/ownedObjects/read Objecten in eigendom van service-principals lezen
microsoft.directory/servicePrincipals/policies/read Beleid van service-principals lezen
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen
microsoft.directory/users/appRoleAssignments/read Toewijzingen van toepassingsrollen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read deviceForResourceAccount van gebruikers lezen
microsoft.directory/users/directReports/read De direct ondergeschikten voor gebruikers lezen
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Manager van gebruikers lezen
microsoft.directory/users/memberOf/read De groepslidmaatschappen van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingsverlening voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten in eigendom van gebruikers lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Het lidmaatschap van een Azure AD-rol van de gebruiker lezen, die binnen het bereik van een beheereenheid ligt

Adreslijstsynchronisatieaccounts

Niet gebruiken. Deze rol wordt automatisch aan de Azure AD Connect-service toegewezen en is niet bedoeld of wordt niet ondersteund voor ander gebruik.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hybride verificatiebeleid beheren in Azure AD
microsoft.directory/organization/dirSync/update De synchronisatie-eigenschap van de organisatiedirectory bijwerken
microsoft.directory/passwordHashSync/allProperties/allTasks Alle aspecten van wachtwoord-hashsynchronisatie (PHS) beheren in Azure AD
microsoft.directory/policies/create Beleidsregels maken in Azure AD
microsoft.directory/policies/delete Beleidsregels verwijderen in Azure AD
microsoft.directory/policies/standard/read Basiseigenschappen voor beleidsregels lezen
microsoft.directory/policies/owners/read Eigenaren van beleidsregels lezen
microsoft.directory/policies/policyAppliedTo/read De eigenschap policies.policyAppliedTo lezen
microsoft.directory/policies/basic/update Basiseigenschappen voor beleidsregels bijwerken
microsoft.directory/policies/owners/update Eigenaren van beleidsregels bijwerken
microsoft.directory/policies/tenantDefault/update Standaardorganisatiebeleid bijwerken
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Roltoewijzingen van service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignments/read Roltoewijzingen lezen die aan service-principals zijn toegewezen
microsoft.directory/servicePrincipals/standard/read Basiseigenschappen van service-principals lezen
microsoft.directory/servicePrincipals/memberOf/read De groepslidmaatschappen voor service-principals lezen
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Gedelegeerde machtigingsverleningen van service-principals lezen
microsoft.directory/servicePrincipals/owners/read Eigenaren van service-principals lezen
microsoft.directory/servicePrincipals/ownedObjects/read Objecten in eigendom van service-principals lezen
microsoft.directory/servicePrincipals/policies/read Beleid van service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken

Adreslijstschrijvers

Gebruikers met deze rol kunnen basisinformatie over gebruikers, groepen en service-principals lezen en bijwerken.

Acties Beschrijving
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Azure Active Directory-groepen bijwerken die met Azure AD Connect moeten worden teruggeschreven naar on-premises
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/create Groepsinstellingen maken
microsoft.directory/groupSettings/delete Groepsinstellingen verwijderen
microsoft.directory/groupSettings/basic/update Basiseigenschappen voor groepsinstellingen bijwerken
microsoft.directory/oAuth2PermissionGrants/create OAuth 2.0-machtigingsverlening maken
microsoft.directory/oAuth2PermissionGrants/basic/update OAuth 2.0-machtigingsverlening bijwerken
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor toepassingsinrichting starten, herstarten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor toepassingsinrichting maken en beheren
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken

Beheerder van domeinnamen

Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook directorygegevens over gebruikers, groepen en toepassingen lezen, aangezien deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen configureren voor federatie, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Azure AD-services met hun on-premises wachtwoorden via eenmalige aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Azure AD Connect, zodat gebruikers ook machtigingen hebben voor het beheren van Azure AD Connect.

Acties Beschrijving
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Dynamics 365-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Dynamics 365 Online, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Meer informatie vindt u in De rol Servicebeheerder gebruiken om uw Azure AD-organisatie te beheren.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Dynamics 365-servicebeheerder'. Het is 'Dynamics 365-beheerder' in de Azure-portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Edge-beheerder

Gebruikers met deze rol kunnen de lijst met bedrijfssites maken en beheren die vereist is voor de Internet Explorer-modus in Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt bovendien toegang tot het beheren van ondersteuningstickets. Meer informatie

Acties Beschrijving
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van Microsoft Edge beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Exchange-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Meer informatie vindt u in Over Microsoft 365-beheerdersrollen.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Exchange-servicebeheerder'. Het is 'Exchange-beheerder' in de Azure-portal. Het is 'Exchange Online-beheerder' in het Exchange-beheercentrum.

Acties Beschrijving
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van Exchange-ontvangers

Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van deze ontvangers in Exchange Online. Meer informatie vindt u in Exchange-ontvangers.

Acties Beschrijving
microsoft.office365.exchange/recipients/allProperties/allTasks Alle ontvangers maken en verwijderen en alle eigenschappen van ontvangers lezen en bijwerken in Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Alle taken met betrekking tot migratie van ontvangers beheren in Exchange Online

Beheerder van externe id-gebruikersstromen

Gebruikers met deze rol kunnen gebruikersstromen (ook wel 'ingebouwde beleidsregels' genoemd) maken en beheren in de Azure-portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors en hun referenties beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Azure AD-organisatie. Aan de andere kant bevat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework-beleidsregels (ook wel 'aangepaste beleidsregels' genoemd) vallen ook buiten het bereik van deze rol.

Acties Beschrijving
microsoft.directory/b2cUserFlow/allProperties/allTasks Gebruikersstroom in Azure Active Directory B2C lezen en configureren

Beheerder van externe id-gebruikersstroomkenmerken

Gebruikers met deze rol kunnen aangepaste kenmerken toevoegen of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Azure AD-organisatie. Als zodanig kunnen gebruikers met deze rol elementen wijzigen of nieuwe toevoegen aan het eindgebruikersschema en het gedrag van alle gebruikersstromen beïnvloeden, wat indirect leidt tot wijzigingen in het soort gegevens waar eindgebruikers om kunnen worden gevraagd en die uiteindelijk als claims naar toepassingen worden verzonden. Gebruikers met deze rol kunnen geen gebruikersstromen bewerken.

Acties Beschrijving
microsoft.directory/b2cUserAttribute/allProperties/allTasks Gebruikerskenmerk in Azure Active Directory B2C lezen en configureren

Beheerder van externe id-providers

Deze beheerder beheert federatie tussen Azure AD-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Azure AD-organisatie inschakelen om verificaties van externe id-providers te vertrouwen. De resulterende invloed op eindgebruikerservaringen is afhankelijk van het type organisatie:

  • Azure AD-organisaties voor werknemers en partners: De toevoeging van een federatie (bijvoorbeeld met Gmail) heeft onmiddellijk invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als een id-provider voor B2B-gastgebruikers.
  • Azure Active Directory B2C-organisaties: De toevoeging van een federatie (bijvoorbeeld met Facebook of met een andere Azure AD-organisatie) heeft pas invloed op eindgebruikersstromen zodra de id-provider is toegevoegd als een optie in een gebruikersstroom (ook wel een 'ingebouwd beleid' genoemd). Zie Een Microsoft-account configureren als een id-provider voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol 'Beheerder van B2C-gebruikersstromen' vereist.
Acties Beschrijving
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
microsoft.directory/identityProviders/allProperties/allTasks Id-providers in Azure Active Directory B2C lezen en configureren

Hoofdbeheerder

Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure Active Directory, evenals services die gebruikmaken van Azure Active Directory-identiteiten zoals de Microsoft 365 Defender-portal, de Microsoft Purview-nalevingsportal, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Globale beheerders kunnen bovendien hun toegangsrechten uitbreiden, zodat ze alle Azure-abonnementen en -beheergroepen kunnen beheren. Hierdoor kunnen globale beheerders volledige toegang tot alle Azure-resources krijgen met behulp van de respectieve Azure AD-tenant. De persoon die zich registreert voor de Azure AD-organisatie, wordt de globale beheerder. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen.

Notitie

Als best practice raadt Microsoft u aan om de rol Globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices voor Azure AD-rollen voor meer informatie.

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/allTasks (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks Toegangsbeoordelingen van alle controleerbare resources in Azure AD beheren
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor toestemmingsaanvraag voor beheerders beheren in Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden (inclusief leden) maken en beheren
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Azure AD
microsoft.directory/applications/allProperties/allTasks Toepassingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.directory/connectors/create Toepassingsproxyconnectors maken
microsoft.directory/connectors/allProperties/read Alle eigenschappen van de connectors van de toepassingsproxy lezen
microsoft.directory/connectorGroups/create Connectorgroepen voor de toepassingsproxy maken
microsoft.directory/connectorGroups/delete Connectorgroepen voor de toepassingsproxy verwijderen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van de connectorgroepen van de toepassingsproxy bijwerken
microsoft.directory/contacts/allProperties/allTasks Contactpersonen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/contracts/allProperties/allTasks Partnercontracten maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Aangepaste verificatie-extensies maken en beheren
microsoft.directory/deletedItems/delete Objecten die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems/restore Voorlopig verwijderde objecten terugzetten naar de oorspronkelijke status
microsoft.directory/devices/allProperties/allTasks Apparaten maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen voor toepassingsbeleidsregels voor apparaatbeheer bijwerken
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken
microsoft.directory/directoryRoles/allProperties/allTasks Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Azure AD-rolsjablonen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen in Azure AD-rechtenbeheer lezen en bijwerken
microsoft.directory/groups/allProperties/allTasks Groepen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Groepen verwijderen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/restore Groepen herstellen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/allProperties/update Groepen bijwerken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/allProperties/allTasks Groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupSettingTemplates/allProperties/allTasks Sjablonen voor groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hybride verificatiebeleid beheren in Azure AD
microsoft.directory/identityProtection/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Azure AD Identity Protection lezen en bijwerken
microsoft.directory/loginOrganizationBranding/allProperties/allTasks loginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/organization/allProperties/allTasks Alle eigenschappen voor een organisatie lezen en bijwerken
microsoft.directory/passwordHashSync/allProperties/allTasks Alle aspecten van wachtwoord-hashsynchronisatie (PHS) beheren in Azure AD
microsoft.directory/policies/allProperties/allTasks Beleid maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Alle eigenschappen van beleid voor voorwaardelijke toegang beheren
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/basic/update Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Azure AD B2B-samenwerkingsinstellingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Azure AD B2B-instellingen voor directe verbinding van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/delete Toegangsbeleid voor meerdere tenants voor partners verwijderen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Azure AD B2B-samenwerkingsinstellingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Azure AD B2B-instellingen voor directe verbinding van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/serviceAction/activateService Kan de actie 'Service activeren' uitvoeren voor een service
microsoft.directory/serviceAction/disableDirectoryFeature Kan de serviceactie 'Directoryfunctie uitschakelen' uitvoeren
microsoft.directory/serviceAction/enableDirectoryFeature Kan de serviceactie 'Directoryfunctie inschakelen' uitvoeren
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipals/allProperties/allTasks Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke machtiging voor elke toepassing
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/allTasks Abonnementen kopen en beheren en abonnementen verwijderen
microsoft.directory/users/allProperties/allTasks Gebruikers maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/permissionGrantPolicies/create Beleid voor het verlenen van machtigingen maken
microsoft.directory/permissionGrantPolicies/delete Beleid voor het verlenen van machtigingen verwijderen
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/permissionGrantPolicies/basic/update Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/servicePrincipalCreationPolicies/create Beleidsregels voor het maken van service-principals maken
microsoft.directory/servicePrincipalCreationPolicies/delete Beleid voor het maken van service-principals verwijderen
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen
microsoft.directory/servicePrincipalCreationPolicies/basic/update Basiseigenschappen van beleidsregels voor het maken van service-principals bijwerken
microsoft.directory/tenantManagement/tenants/create Nieuwe tenants maken in Azure Active Directory
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een kaart met verifieerbare referenties intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een contract met verifieerbare referenties maken
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een contract met verifieerbare referenties bijwerken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Alle aspecten van levenscycluswerkstromen en -taken beheren in Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.commerce.billing/allEntities/allProperties/allTasks Alle aspecten van Office 365-facturering beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van Microsoft Edge beheren
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate beheren
microsoft.insights/allEntities/allProperties/allTasks Alle aspecten van de Insights-app beheren
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune beheren
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van Desktop Analytics beheren
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online beheren
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren
microsoft.office365.knowledge/learningSources/allProperties/allTasks Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Alle aspecten van de beveiligings- en nalevingscentrums beheren
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.securityComplianceCenter/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in het Office 365-centrum voor beveiliging en naleving lezen en bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/allTasks Alle aspecten van Yammer beheren
microsoft.permissionsManagement/allEntities/allProperties/allTasks Alle aspecten van Entra-machtigingenbeheer beheren
microsoft.powerApps/allEntities/allTasks Alle aspecten van Power Apps beheren
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van Power BI beheren
microsoft.teams/allEntities/allProperties/allTasks Alle resources in Teams beheren
microsoft.virtualVisits/allEntities/allProperties/allTasks Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender voor Eindpunt beheren
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van Windows Update Service lezen en configureren

Algemene lezer

Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365-services lezen, maar kunnen geen beheeracties uitvoeren. Globale lezer is de alleen-lezen tegenhanger voor Globale beheerder. Wijs Globale lezer in plaats van Globale beheerder toe voor planning, audits of onderzoeken. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange-beheerder, om het gemakkelijker te maken werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met het Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Beveiligingscentrum, Nalevingscentrum, Azure AD-beheercentrum en het beheercentrum van Apparaatbeheer.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Geen toegang tot het gebied Services aanschaffen in de Microsoft 365-beheercentrum.

Notitie

De rol Globale lezer heeft de volgende beperkingen:

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/read (Afgeschaft) Alle eigenschappen van toegangsbeoordelingen lezen
microsoft.directory/accessReviews/definitions/allProperties/read Alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Azure AD lezen
microsoft.directory/adminConsentRequestPolicy/allProperties/read Alle eigenschappen van beleid voor aanvragen van beheerderstoestemming in Azure AD lezen
microsoft.directory/administrativeUnits/allProperties/read Alle eigenschappen van beheereenheden lezen, inclusief leden
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Azure AD
microsoft.directory/applications/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) voor alle typen toepassingen lezen
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/cloudAppSecurity/allProperties/read Alle eigenschappen voor Defender for Cloud Apps lezen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van de connectors van de toepassingsproxy lezen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen
microsoft.directory/contacts/allProperties/read Alle eigenschappen voor contactpersonen lezen
microsoft.directory/customAuthenticationExtensions/allProperties/read Aangepaste verificatie-extensies lezen
microsoft.directory/devices/allProperties/read Alle eigenschappen van apparaten lezen
microsoft.directory/directoryRoles/allProperties/read Alle eigenschappen van directoryrollen lezen
microsoft.directory/directoryRoleTemplates/allProperties/read Alle eigenschappen van sjablonen voor directoryrollen lezen
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/groups/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/allProperties/read Alle eigenschappen van groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/allProperties/read Alle eigenschappen van sjablonen voor groepsinstellingen lezen
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection lezen
microsoft.directory/loginOrganizationBranding/allProperties/read Alle eigenschappen voor de aanmeldingspagina van uw organisatie lezen
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/oAuth2PermissionGrants/allProperties/read Alle eigenschappen van OAuth 2.0-machtigingsverlening lezen
microsoft.directory/organization/allProperties/read Alle eigenschappen voor een organisatie lezen
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/policies/allProperties/read Alle eigenschappen van beleid lezen
microsoft.directory/conditionalAccessPolicies/allProperties/read Alle eigenschappen van beleid voor voorwaardelijke toegang lezen
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/roleAssignments/allProperties/read Alle eigenschappen van roltoewijzingen lezen
microsoft.directory/roleDefinitions/allProperties/read Alle eigenschappen van roldefinities lezen
microsoft.directory/scopedRoleMemberships/allProperties/read Leden in beheereenheden bekijken
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipals/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) in service-principals lezen
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/read Alle eigenschappen van productabonnementen lezen
microsoft.directory/users/allProperties/read Alle eigenschappen van gebruikers lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Alle eigenschappen van levenscycluswerkstromen en taken lezen in Azure AD
microsoft.cloudPC/allEntities/allProperties/read Alle aspecten van Windows 365 lezen
microsoft.commerce.billing/allEntities/allProperties/read Alle resources van Office 365-facturering lezen
microsoft.edge/allEntities/allProperties/read Alle aspecten van Microsoft Edge lezen
microsoft.insights/allEntities/allProperties/read Alle aspecten van Viva Insights lezen
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365 Organisatieberichten lezen
microsoft.office365.protectionCenter/allEntities/allProperties/read Alle eigenschappen in de beveiligings- en nalevingscentrums lezen
microsoft.office365.securityComplianceCenter/allEntities/read Standaardeigenschappen in het Microsoft 365-centrum voor beveiliging en naleving lezen
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/read Alle aspecten van Yammer lezen
microsoft.permissionsManagement/allEntities/allProperties/read Alle aspecten van Entra-machtigingenbeheer lezen
microsoft.teams/allEntities/allProperties/read Alle eigenschappen van Microsoft Teams lezen
microsoft.virtualVisits/allEntities/allProperties/read Alle aspecten van virtuele bezoeken lezen
microsoft.windows.updatesDeployments/allEntities/allProperties/read Alle aspecten van Windows Update Service lezen

Groepsbeheerder

Gebruikers met deze rol kunnen groepen en groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren. Het is belangrijk om te begrijpen dat de gebruiker die deze rol krijgt toegewezen, alle groepen in de organisatie kan beheren voor verschillende workloads, zoals Teams, SharePoint, Yammer en Outlook. De gebruiker kan ook de verschillende groepsinstellingen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, de Azure-portal en workloadspecifieke portals zoals het Teams- en SharePoint-beheercentrum.

Acties Beschrijving
microsoft.directory/deletedItems.groups/delete Groepen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Azure Active Directory-groepen bijwerken die met Azure AD Connect moeten worden teruggeschreven naar on-premises
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Afzender van gastuitnodigingen

Gebruikers met deze rol kunnen uitnodigingen voor Azure Active Directory B2B-gastgebruikers beheren wanneer de gebruikersinstelling Leden kunnen uitnodigen is ingesteld op Nee. Meer informatie over B2B-samenwerking vindt u in Over Azure AD B2B-samenwerking. Het bevat geen andere machtigingen.

Acties Beschrijving
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen
microsoft.directory/users/appRoleAssignments/read Toewijzingen van toepassingsrollen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read deviceForResourceAccount van gebruikers lezen
microsoft.directory/users/directReports/read De direct ondergeschikten voor gebruikers lezen
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Manager van gebruikers lezen
microsoft.directory/users/memberOf/read De groepslidmaatschappen van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingsverlening voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten in eigendom van gebruikers lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Het lidmaatschap van een Azure AD-rol van de gebruiker lezen, die binnen het bereik van een beheereenheid ligt

Helpdeskbeheerder

Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services, en de servicestatus bewaken. Als een vernieuwingstoken ongeldig wordt gemaakt, wordt de gebruiker gedwongen zich opnieuw aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een helpdeskbeheerder wachtwoorden opnieuw kan instellen en vernieuwingstokens ongeldig kan maken.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een groep waaraan rollen kunnen worden toegewezen.

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders die niet worden verleend aan helpdeskbeheerders. Via dit pad kan een helpdeskbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, het Office-centrum voor beveiliging en naleving, en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.

Het delegeren van beheerdersmachtigingen aan subsets van gebruikers en het toepassen van beleidsregels op een subset van gebruikers is mogelijk met beheereenheden.

Deze rol heette voorheen 'Wachtwoordbeheerder' in de Azure-portal. De naam 'Helpdeskbeheerder' in Azure AD komt nu overeen met de naam in Azure AD PowerShell en de Microsoft Graph-API.

Acties Beschrijving
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Hybrid Identity-beheerder

Gebruikers met deze rol kunnen configuratie-instellingen voor inrichting van AD naar Azure AD maken, beheren en implementeren met behulp van cloudinrichting, en kunnen Azure AD Connect, pass-through-verificatie (PTA), hash-synchronisatie wachtwoord (PHS), naadloze eenmalige aanmelding (naadloze SSO) en federatie-instellingen beheren. Gebruikers kunnen ook problemen oplossen en logboeken bewaken met behulp van deze rol.

Acties Beschrijving
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/cloudProvisioning/allProperties/allTasks Alle eigenschappen van de Azure AD-cloudinrichtingsservice lezen en configureren
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hybride verificatiebeleid beheren in Azure AD
microsoft.directory/organization/dirSync/update De synchronisatie-eigenschap van de organisatiedirectory bijwerken
microsoft.directory/passwordHashSync/allProperties/allTasks Alle aspecten van wachtwoord-hashsynchronisatie (PHS) beheren in Azure AD
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor toepassingsinrichting starten, herstarten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en -schema voor toepassingsinrichting maken en beheren
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Identity Governance-beheerder

Gebruikers met deze rol kunnen de configuratie van Azure AD Identity Governance beheren, inclusief toegangspakketten, toegangsbeoordelingen, catalogussen en beleidsregels, zodat de toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.

Acties Beschrijving
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/create Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken.
microsoft.directory/accessReviews/definitions.groups/delete Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen.
microsoft.directory/accessReviews/allProperties/allTasks (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen in Azure AD-rechtenbeheer lezen en bijwerken
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken

Insights-beheerder

Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft Viva Insights-app. Deze rol heeft de mogelijkheid om directorygegevens te lezen, de servicestatus te bewaken, ondersteuningstickets in te dienen en toegang tot de aspecten van Insights-beheerdersinstellingen te krijgen.

Meer informatie

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.insights/allEntities/allProperties/allTasks Alle aspecten van de Insights-app beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Insights-analist

Wijs de rol Insights-analist toe aan gebruikers die het volgende moeten doen:

  • Gegevens analyseren in de Microsoft Viva Insights-app, maar niet configuratie-instellingen beheren
  • Query's maken, beheren en uitvoeren
  • Basisinstellingen en -rapporten bekijken in het Microsoft 365-beheercentrum
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum

Meer informatie

Acties Beschrijving
microsoft.insights/queries/allProperties/allTasks Query's uitvoeren en beheren in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Insights-bedrijfsleider

Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft Viva Insights-app. Dit omvat volledige toegang tot alle dashboards en de functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot configuratie-instellingen van het product, wat de verantwoordelijkheid is van de Insights-beheerder.

Meer informatie

Acties Beschrijving
microsoft.insights/reports/allProperties/read Rapporten en het dashboard in de Insights-app bekijken
microsoft.insights/programs/allProperties/update Programma's in de Insights-app implementeren en beheren

Intune-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren. Meer informatie vindt u in Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.

Met deze rol kunnen alle beveiligingsgroepen worden gemaakt en beheerd. Een Intune-beheerder heeft echter geen beheerdersrechten voor Office-groepen. Dit betekent dat de beheerder eigenaren of lidmaatschappen van alle Office-groepen in de organisatie niet kan bijwerken. De beheerder kan echter wel de Office-groep beheren die hij/zij maakt als onderdeel van zijn/haar eindgebruikersbevoegdheden. Dus elke Office-groep (niet beveiligingsgroep) die hij/zij maakt, moet worden meegeteld voor zijn/haar quotum van 250.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Intune-servicebeheerder'. Het is 'Intune-beheerder' in de Azure-portal.

Acties Beschrijving
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/deletedItems.devices/delete Apparaten die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/devices/create Apparaten maken (inschrijven bij Azure AD)
microsoft.directory/devices/delete Apparaten verwijderen uit Azure AD
microsoft.directory/devices/disable Apparaten uitschakelen in Azure AD
microsoft.directory/devices/enable Apparaten inschakelen in Azure AD
microsoft.directory/devices/basic/update Basiseigenschappen voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet1/update De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet2/update De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet3/update De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken
microsoft.directory/devices/registeredOwners/update Geregistreerde eigenaren van apparaten bijwerken
microsoft.directory/devices/registeredUsers/update Geregistreerde gebruikers van apparaten bijwerken
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/classification/update De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/visibility/update De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune beheren
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365 organisatieberichten lezen
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Kaizala-beheerder

Gebruikers met deze rol hebben algemene machtigingen om instellingen in Microsoft Kaizala te beheren, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten over het accepteren en gebruiken van Kaizala door organisatieleden en zakelijke rapporten die zijn gegenereerd met behulp van de Kaizala-acties.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Kennisbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in het Microsoft 365-beheercentrum. Ze hebben algemeen begrip van de productsuite en licentiegegevens en zijn verantwoordelijk voor het toegangsbeheer. De kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentrums maken, de servicestatus bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/learningSources/allProperties/allTasks Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Alle eigenschappen van vertrouwelijkheidslabels in de beveiligings- en nalevingscentrums lezen
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Kennismanager

Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Ze zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van kennis. Deze gebruiker heeft volledige rechten voor onderwerpbeheeracties om een onderwerp te bevestigen, wijzigingen goed te keuren of een onderwerp te verwijderen. Gebruikers met deze rol kunnen ook taxonomieën beheren als onderdeel van het beheerhulpprogramma voor het termenarchief en inhoudscentrums maken.

Acties Beschrijving
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Licentiebeheerder

Gebruikers met deze rol kunnen licentietoewijzingen toevoegen, verwijderen en bijwerken voor gebruikers en groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of beheren, of gebruikers te maken of beheren buiten de gebruikslocatie. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/usageLocation/update Gebruikslocatie van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van levenscycluswerkstromen

Wijs de rol 'Beheerder van levenscycluswerkstromen' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten maken en beheren van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Azure AD
  • De uitvoering van geplande werkstromen controleren
  • Werkstroomuitvoeringen op aanvraag starten
  • Logboeken van werkstroomuitvoeringen inspecteren
Acties Beschrijving
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Alle aspecten van levenscycluswerkstromen en taken beheren in Azure AD

Berichtencentrum-privacylezer

Gebruikers met deze rol kunnen alle meldingen in het Berichtencentrum bewaken, inclusief berichten over gegevensprivacy. Berichtencentrum-privacylezers ontvangen e-mailmeldingen, inclusief de berichten die betrekking hebben op gegevensprivacy, en kunnen zich afmelden via de voorkeuren van het Berichtencentrum. Alleen de globale beheerder en de Berichtencentrum-privacylezer kunnen berichten over gegevensprivacy lezen. Ook bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen te bekijken. Deze rol is niet gemachtigd om serviceaanvragen te bekijken, maken of beheren.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Berichtencentrum-lezer

Gebruikers met deze rol kunnen meldingen en adviesstatusupdates bewaken in het Berichtencentrum voor hun organisatie voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum-lezers ontvangen wekelijkse e-mailsamenvattingen van posts en updates en kunnen Berichtencentrum-posts delen in Microsoft 365. In Azure AD hebben gebruikers die aan deze rol zijn toegewezen uitsluitend alleen-lezen toegang voor Azure AD-services zoals gebruikers en groepen. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Microsoft hardwaregarantiebeheerder

Wijs de rol Microsoft hardwaregarantiebeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Nieuwe garantieclaims maken voor Microsoft geproduceerde hardware, zoals Surface en HoloLens
  • Geopende of gesloten garantieclaims zoeken en lezen
  • Garantieclaims zoeken en lezen op serienummer
  • Verzendadressen maken, lezen, bijwerken en verwijderen
  • Verzendstatus voor openstaande garantieclaims lezen
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
  • Aankondigingen in het berichtencentrum lezen in de Microsoft 365-beheercentrum

Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen in overeenstemming met de garantievoorwaarden. Zie Zelfserviceaanvragen voor de Surface-garantie &voor meer informatie.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Microsoft hardwaregarantiespecialist

Wijs de rol Microsoft hardwaregarantiespecialist toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Nieuwe garantieclaims maken voor Microsoft geproduceerde hardware, zoals Surface en HoloLens
  • Garantieclaims lezen die ze hebben gemaakt
  • Bestaande verzendadressen lezen en bijwerken
  • Verzendstatus lezen voor openstaande garantieclaims die ze hebben gemaakt
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum

Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen in overeenstemming met de garantievoorwaarden. Zie Zelfserviceaanvragen voor de Surface-garantie &voor meer informatie.

Acties Beschrijving
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Moderne Commerce-gebruiker

Niet gebruiken. Deze rol wordt automatisch vanuit Commerce toegewezen en is niet bedoeld of wordt niet ondersteund voor ander gebruik. Zie hieronder voor meer informatie.

De rol 'Moderne Commerce-gebruiker' geeft bepaalde gebruikers toestemming om toegang te krijgen tot het Microsoft 365-beheercentrum en de linkernavigatiebalk te bekijken voor Start, Facturering en Ondersteuning. De beschikbare inhoud in deze omgevingen wordt beheerd door de commerce-specifieke rollen die aan gebruikers zijn toegewezen voor het beheren van producten die ze voor zichzelf of voor de organisatie hebben gekocht. Dit kunnen taken zijn zoals rekeningen betalen, of toegang tot factureringsaccounts en factureringsprofielen.

Gebruikers met de rol 'Moderne Commerce-gebruiker' hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben niet de rol 'Globale beheerder' of 'Factureringsbeheerder' die wordt gebruikt voor toegang tot het beheercentrum.

Wanneer wordt de rol 'Moderne Commerce-gebruiker' toegewezen?

  • Selfservice-aankoop in het Microsoft 365-beheercentrum – Selfservice-aankoop biedt gebruikers de kans om nieuwe producten uit te proberen door deze zelf te kopen of zich er zelf voor te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfservice-aankoop doen, krijgen een rol in het commerce-systeem en de rol 'Moderne Commerce-gebruiker' toegewezen, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheerders kunnen selfservice-aankopen blokkeren (voor Power BI, Power Apps, Power Automate) via PowerShell. Zie Veelgestelde vragen over aankopen via self-service voor meer informatie.
  • Aankopen bij de commerciële marketplace van Microsoft – Net als bij selfservice-aankoop geldt dat wanneer een gebruiker een product of service koopt bij Microsoft AppSource of Azure Marketplace, de rol 'Moderne Commerce-gebruiker' wordt toegewezen als de gebruiker niet de rol 'Globale beheerder' of 'Factureringsbeheerder' heeft. In sommige gevallen worden gebruikers geblokkeerd en kunnen ze deze aankopen niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
  • Voorstellen van Microsoft – Een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert niet de rol 'Globale beheerder' of 'Factureringsbeheerder' heeft in Azure AD, krijgt hij/zij een commerce-specifieke rol toegewezen om het voorstel te voltooien én de rol 'Moderne Commerce-gebruiker' om toegang tot het beheercentrum te krijgen. Wanneer ze toegang tot het beheercentrum krijgen, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
  • Commerce-specifieke rollen – Aan sommige gebruikers worden commerce-specifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol 'Moderne Commerce-gebruiker' om toegang tot het beheercentrum te kunnen krijgen.

Als de toewijzing van de rol 'Moderne Commerce-gebruiker' aan een gebruiker wordt opgeheven, verliest hij/zij de toegang tot het Microsoft 365-beheercentrum. Als de gebruiker producten voor zichzelf of voor uw organisatie beheerde, kan hij/zij die niet meer beheren. Dit kan het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen omvatten.

Acties Beschrijving
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Alle aspecten van het Volume Licensing Service Center beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/basic/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Netwerkbeheerder

Gebruikers met deze rol kunnen aanbevelingen voor de netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerktelemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van zorgvuldige netwerkperimeterarchitectuur van zakelijke klanten, wat over het algemeen gebruikerslocatiespecifiek is. Met deze rol kunt u gedetecteerde gebruikerslocaties bewerken en netwerkparameters voor die locaties configureren om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken.

Acties Beschrijving
microsoft.office365.network/locations/allProperties/allTasks Alle aspecten van netwerklocaties beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van Office-apps

Gebruikers met deze rol kunnen cloudinstellingen van Microsoft 365-apps beheren. Dit omvat het beheer van cloudbeleidsregels, selfservice-downloadbeheer en de mogelijkheid om aan Office-apps gerelateerde rapporten te bekijken. Deze rol biedt ook de mogelijkheid om ondersteuningstickets te beheren en de servicestatus in het hoofdbeheercentrum te bewaken. Gebruikers die zijn toegewezen aan deze rol, kunnen ook de communicatie beheren van nieuwe functies in Office-apps.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Schrijver van organisatieberichten

Wijs de rol Schrijver van organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Organisatieberichten schrijven, publiceren en verwijderen met Microsoft 365-beheercentrum of Microsoft Endpoint Manager
  • Opties voor de bezorging van berichten in de organisatie beheren met Microsoft 365-beheercentrum of Microsoft Endpoint Manager
  • Resultaten van de bezorging van organisatorische berichten lezen met Microsoft 365-beheercentrum of Microsoft Endpoint Manager
  • Gebruiksrapporten en de meeste instellingen in de Microsoft 365-beheercentrum weergeven, maar kan geen wijzigingen aanbrengen
Acties Beschrijving
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Alle ontwerpaspecten van Microsoft 365 organisatieberichten beheren
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Laag1-ondersteuning voor partner

Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst uit Azure AD verwijderd. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen alleen voor niet-beheerders wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt, omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.

Acties Beschrijving
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Laag2-ondersteuning voor partner

Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst uit Azure AD verwijderd. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen voor alle niet-beheerders en beheerders (inclusief globale beheerders) wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt, omdat deze is afgeschaft en niet meer wordt geretourneerd in de API.

Acties Beschrijving
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/organization/basic/update Basiseigenschappen voor organisatie bijwerken
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Wachtwoordbeheerder

Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de servicestatus te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.

Gebruikers met deze rol kunnen het volgende niet doen:

Acties Beschrijving
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van machtigingenbeheer

Wijs de rol Machtigingenbeheerbeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van Entra-machtigingenbeheer beheren, wanneer de service aanwezig is

Meer informatie over machtigingenbeheerrollen en beleid vindt u in Informatie over rollen/beleid weergeven.

Acties Beschrijving
microsoft.permissionsManagement/allEntities/allProperties/allTasks Alle aspecten van Entra-machtigingenbeheer beheren

Power BI-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Meer informatie vindt u in De rol Power BI-beheerder begrijpen.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Power BI-servicebeheerder'. Het is 'Power BI-beheerder' in de Azure-portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van Power BI beheren

Power Platform-beheerder

Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid voor preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.powerApps/allEntities/allTasks Alle aspecten van Power Apps beheren

Printerbeheerder

Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing, zoals de Universal Print Connector-instellingen, beheren. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot afdrukrapporten.

Acties Beschrijving
microsoft.azure.print/allEntities/allProperties/allTasks Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken

Printertechnicus

Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universal Print-oplossing. Ze kunnen ook alle connectorgegevens lezen. Belangrijke taken die een printertechnicus niet kan uitvoeren, zijn het instellen van gebruikersmachtigingen voor printers en het delen van printers.

Acties Beschrijving
microsoft.azure.print/connectors/allProperties/read Alle eigenschappen van connectors in Microsoft Print lezen
microsoft.azure.print/printers/allProperties/read Alle eigenschappen van printers in Microsoft Print lezen
microsoft.azure.print/printers/register Printers in Microsoft Print registreren
microsoft.azure.print/printers/unregister De registratie van printers in Microsoft Print ongedaan maken
microsoft.azure.print/printers/basic/update Basiseigenschappen van printers in Microsoft Print bijwerken

Bevoorrechte verificatiebeheerder

Wijs de rol Beheerder voor bevoegde verificatie toe aan gebruikers die het volgende moeten doen:

  • Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor elke gebruiker, inclusief globale beheerders.
  • Verwijder of herstel alle gebruikers, inclusief globale beheerders. Zie Wie kan gevoelige acties uitvoeren voor meer informatie.
  • Gebruikers dwingen zich opnieuw te registreren op basis van bestaande referenties zonder wachtwoord (zoals MFA of FIDO) en MFA onthouden op het apparaat in te trekken, waarbij bij de volgende aanmelding van alle gebruikers wordt gevraagd om MFA.
  • Gevoelige eigenschappen voor alle gebruikers bijwerken. Zie Wie kan gevoelige acties uitvoeren voor meer informatie.
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan MFA per gebruiker niet beheren in de verouderde MFA-beheerportal. Dezelfde functies kunnen worden uitgevoerd met behulp van de cmdlet Set-MsolUser in de Azure AD PowerShell-module.

In de volgende tabel worden de mogelijkheden van deze rol vergeleken met gerelateerde rollen.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Bevoorrechte verificatiebeheerder Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nee Nee Ja Ja Ja Nee Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders die niet worden verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, het Office-centrum voor beveiliging en naleving, en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers maken
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor bevoorrechte rollen

Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure Active Directory en in Azure AD Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Azure AD-rollen. Daarnaast kunnen met deze rol alle aspecten van Privileged Identity Management en beheereenheden worden beheerd.

Belangrijk

Deze rol biedt de mogelijkheid om toewijzingen te beheren voor alle Azure AD-rollen, inclusief de rol Globale beheerder. Deze rol biedt geen andere bevoorrechte mogelijkheden in Azure AD, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen echter aanvullende bevoegdheden aan zichzelf of anderen verlenen door aanvullende rollen toe te wijzen.

Acties Beschrijving
microsoft.directory/accessReviews/definitions.applications/allProperties/read Alle eigenschappen van toegangsbeoordelingen van toepassingsroltoewijzingen lezen in Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Toegangsbeoordelingen beheren voor Azure AD-roltoewijzingen
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in groepen die kunnen worden toegewezen aan Azure AD-rollen
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Toegangsbeoordelingen maken voor lidmaatschap in groepen die kunnen worden toegewezen aan Azure AD-rollen
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Toegangsbeoordelingen verwijderen voor lidmaatschappen in groepen die kunnen worden toegewezen aan Azure AD-rollen
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden (inclusief leden) maken en beheren
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
microsoft.directory/directoryRoles/allProperties/allTasks Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Groepen verwijderen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/restore Groepen herstellen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/allProperties/update Groepen bijwerken waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Privileged Identity Management lezen en bijwerken
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke machtiging voor elke toepassing
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Rapportenlezer

Gebruikers met deze rol kunnen gebruiksgegevens en het rapportendashboard in het Microsoft 365-beheercentrum en het pakket voor ingebruiknamecontext in Power BI bekijken. De rol biedt ook toegang tot alle aanmeldingslogboeken, auditlogboeken en activiteitenrapporten in Azure AD en gegevens die zijn geretourneerd door de Microsoft Graph-API. Een gebruiker aan wie de rol Rapportenlezer is toegewezen, heeft alleen toegang tot relevante metrische gebruiks- en ingebruiknamegegevens. Ze hebben geen beheerdersmachtigingen voor het configureren van instellingen of toegang tot productspecifieke beheercentrums zoals Exchange. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Zoekbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search-beheerfuncties in het Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de servicestatus bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Zoekredacteur

Gebruikers met deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in het Microsoft 365-beheercentrum, inclusief bladwijzers, vragen en antwoorden en locaties.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beveiligingsbeheer

Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsgerelateerde functies in de Microsoft 365 Defender-portal, Azure Active Directory Identity Protection, Azure Active Directory-verificatie, Azure Information Protection en het Office 365-centrum voor beveiliging en naleving. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het centrum voor beveiliging en naleving.

In Wel
Microsoft 365-beveiligingscentrum Beveiligingsgerelateerde beleidsregels bewaken in Microsoft 365-services
Beveiligingsbedreigingen en -waarschuwingen beheren
Rapporten weergeven
Identity Protection Center Alle machtigingen van de rol Beveiligingslezer
En ook de mogelijkheid om alle Identity Protection Center-bewerkingen uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Kan Azure AD-roltoewijzingen of -instellingen niet beheren
Office 365-centrum voor beveiliging en naleving Beveiligingsbeleid beheren
Beveiligingsbedreigingen bekijken, onderzoeken en erop reageren
Rapporten weergeven
Azure Advanced Threat Protection Verdachte beveiligingsactiviteiten bewaken en erop reageren
Microsoft Defender voor Eindpunten Rollen toewijzen
Machinegroepen beheren
Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren
Waarschuwingen bekijken, onderzoeken en erop reageren
Machines/apparaatinventaris bekijken
Intune Gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens bekijken
Kan geen wijzigingen aan Intune aanbrengen
Microsoft Defender for Cloud Apps Beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Slimme vergrendeling Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden.
Wachtwoordbeveiliging Configureer een aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging.
Acties Beschrijving
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/basic/update Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Azure AD B2B-samenwerkingsinstellingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Azure AD B2B-instellingen voor directe verbinding van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/delete Toegangsbeleid voor meerdere tenants voor partners verwijderen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Azure AD B2B-samenwerkingsinstellingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Azure AD B2B-instellingen voor directe verbinding van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection lezen
microsoft.directory/identityProtection/allProperties/update Alle resources in Azure AD Identity Protection bijwerken
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/policies/create Beleidsregels maken in Azure AD
microsoft.directory/policies/delete Beleidsregels verwijderen in Azure AD
microsoft.directory/policies/basic/update Basiseigenschappen voor beleidsregels bijwerken
microsoft.directory/policies/owners/update Eigenaren van beleidsregels bijwerken
microsoft.directory/policies/tenantDefault/update Standaardorganisatiebeleid bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/standard/read Beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read De eigenschap 'toegepast op' lezen voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen
microsoft.office365.protectionCenter/allEntities/basic/update Basiseigenschappen van alle resources in de beveiligings- en nalevingscentrums bijwerken
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beveiligingsoperator

Gebruikers met deze rol kunnen waarschuwingen beheren en hebben globale alleen-lezen toegang voor beveiligingsgerelateerde functies, waaronder alle informatie in het Microsoft 365-beveiligingscentrum, Azure Active Directory, Identity Protection, Privileged Identity Management en het Office 365-centrum voor beveiliging en naleving. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het centrum voor beveiliging en naleving.

In Wel
Microsoft 365-beveiligingscentrum Alle machtigingen van de rol Beveiligingslezer
Waarschuwingen over beveiligingsbedreigingen bekijken, onderzoeken en erop reageren
Beveiligingsinstellingen beheren in het beveiligingscentrum
Azure AD-identiteitsbeveiliging Alle machtigingen van de rol Beveiligingslezer
En ook de mogelijkheid om alle Identity Protection Center-bewerkingen uit te voeren, met uitzondering van het opnieuw instellen van wachtwoorden en het configureren van waarschuwingsmails.
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Office 365-centrum voor beveiliging en naleving Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Microsoft Defender voor Eindpunten Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat aan ze een Microsoft Defender voor Eindpunt rol is toegewezen.
Intune Alle machtigingen van de rol Beveiligingslezer
Microsoft Defender for Cloud Apps Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.directory/identityProtection/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Azure AD Identity Protection lezen en bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.intune/allEntities/read Alle resources in Microsoft Intune lezen
microsoft.office365.securityComplianceCenter/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in het Office 365-centrum voor beveiliging en naleving lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender voor Eindpunt beheren

Beveiligingslezer

Gebruikers met deze rol hebben globale alleen-lezen toegang voor beveiligingsgerelateerde functies, waaronder alle informatie in het Microsoft 365-beveiligingscentrum, Azure Active Directory, Identity Protection en Privileged Identity Management, evenals de mogelijkheid om Azure Active Directory-aanmeldingsrapporten en auditlogboeken te lezen in het Office 365-centrum voor beveiliging en naleving. Meer informatie over Office 365-machtigingen is beschikbaar in Machtigingen in het centrum voor beveiliging en naleving.

In Wel
Microsoft 365-beveiligingscentrum Beveiligingsgerelateerde beleidsregels bekijken in Microsoft 365-services
Beveiligingsbedreigingen en -waarschuwingen bekijken
Rapporten weergeven
Identity Protection Center Alle beveiligingsrapporten en instellingeninformatie voor beveiligingsfuncties lezen
  • Anti-spam
  • Versleuteling
  • Preventie van gegevensverlies
  • Anti-malware
  • Geavanceerde beveiliging tegen bedreigingen
  • Anti-phishing
  • Regels voor e-mailstromen
Privileged Identity Management Heeft alleen-lezen toegang tot alle informatie die in Azure AD Privileged Identity Management wordt weergegeven: beleidsregels en rapporten voor Azure AD-roltoewijzingen en beveiligingsbeoordelingen.
Kan zich niet registreren voor Azure AD Privileged Identity Management of wijzigingen erin aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand met deze rol aanvullende rollen activeren (bijvoorbeeld 'Globale beheerder' of 'Beheerder voor bevoorrechte rollen'), als de gebruiker hiervoor in aanmerking komt.
Office 365-centrum voor beveiliging en naleving Beveiligingsbeleid bekijken
Beveiligingsbedreigingen bekijken en onderzoeken
Rapporten weergeven
Microsoft Defender voor Eindpunten Waarschuwingen weergeven en onderzoeken
Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, de toegang totdat aan hen een Microsoft Defender voor Eindpunt rol is toegewezen.
Intune kan alleen gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergeven. Kan geen wijzigingen aan Intune aanbrengen.
Microsoft Defender for Cloud Apps Heeft leesmachtigingen.
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Acties Beschrijving
microsoft.directory/accessReviews/definitions/allProperties/read Alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Azure AD lezen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen voor auditlogboeken lezen, inclusief bevoegde eigenschappen
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen lezen in Azure AD-rechtenbeheer
microsoft.directory/identityProtection/allProperties/read Alle resources in Azure AD Identity Protection lezen
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/policies/standard/read Basiseigenschappen voor beleidsregels lezen
microsoft.directory/policies/owners/read Eigenaren van beleidsregels lezen
microsoft.directory/policies/policyAppliedTo/read De eigenschap policies.policyAppliedTo lezen
microsoft.directory/conditionalAccessPolicies/standard/read Beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read De eigenschap 'toegepast op' lezen voor beleid voor voorwaardelijke toegang
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Alle eigenschappen van aanvalspayloads lezen in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen over reacties op aanvalssimulaties en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Alle eigenschappen van sjablonen voor aanvalssimulatie lezen in Aanvalssimulatie
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Serviceondersteuningsbeheerder

Gebruikers met deze rol kunnen ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure-portal en het Microsoft 365-beheercentrum. Meer informatie vindt u in Over beheerdersrollen.

Notitie

Voorheen heette deze rol 'Servicebeheerder' in de Azure-portal en het Microsoft 365-beheercentrum. De naam ervan is gewijzigd in 'Serviceondersteuningsbeheerder' zodat deze overeenkomt met de bestaande naam in de Microsoft Graph-API en Azure AD PowerShell.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

SharePoint-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Meer informatie vindt u in Over beheerdersrollen.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'SharePoint-servicebeheerder'. Het is 'SharePoint-beheerder' in de Azure-portal.

Notitie

Deze rol verleent ook machtigingen met een bepaald bereik aan de Microsoft Graph-API voor Microsoft Intune, waardoor beleidsregels met betrekking tot SharePoint- en OneDrive-resources kunnen worden beheerd en geconfigureerd.

Acties Beschrijving
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Skype voor Bedrijven-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, evenals de mogelijkheid om Skype-specifieke gebruikerskenmerken in Azure Active Directory te beheren. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren, de servicestatus te bewaken en toegang tot het Teams- en Skype voor Bedrijven-beheercentrum te krijgen. Het account moet ook een licentie voor Teams hebben om Teams PowerShell-cmdlets te kunnen uitvoeren. Meer informatie vindt u in Over de rol Skype voor Bedrijven-beheerder, en informatie over Teams-licenties vindt u in Licenties voor de Skype voor Bedrijven- en Microsoft Teams-invoegtoepassing.

Notitie

In de Microsoft Graph-API en Azure AD PowerShell wordt deze rol geïdentificeerd als 'Lync-servicebeheerder'. Het is 'Skype voor Bedrijven-beheerder' in de Azure-portal.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Teams-beheerder

Gebruikers met deze rol kunnen alle aspecten van de Microsoft Teams-workload beheren via het Microsoft Teams- en Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerhulpprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Deze rol biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/allEntities/allProperties/allTasks Alle resources in Teams beheren
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken

Teams-communicatiebeheerder

Gebruikers met deze rol kunnen aspecten van de Microsoft Teams-workload met betrekking tot spraak en telefonie beheren. Dit omvat de beheerhulpprogramma's voor het toewijzen van telefoonnummers, spraak- en vergaderingsbeleidsregels en volledige toegang tot de hulpmiddelenset voor gespreksanalyse.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/allProperties/read Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen
microsoft.teams/meetings/allProperties/allTasks Vergaderingen beheren, inclusief vergaderingsbeleidsregels, configuraties en vergaderingsbruggen
microsoft.teams/voice/allProperties/allTasks Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers

Ondersteuningstechnicus voor Teams-communicatie

Gebruikers met deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met de probleemoplossingsprogramma's voor gesprekken van gebruikers in het beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen de volledige gespreksrecordgegevens bekijken van alle betreffende deelnemers. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/allProperties/read Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen

Ondersteuningsspecialist voor Teams-communicatie

Gebruikers met deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met de probleemoplossingsprogramma's voor gesprekken van gebruikers in het beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen alleen de gebruikersgegevens in het gesprek bekijken voor een specifieke, opgezochte gebruiker. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/standard/read Basisgegevens in het Dashboard Oproepkwaliteit (DOK) lezen

Teams-apparaatbeheerder

Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan gegevens over elk apparaat controleren, waaronder het aangemelde account en het merk en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen om de Teams-activiteit en gesprekskwaliteit van het apparaat te controleren.

Acties Beschrijving
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/devices/standard/read Alle aspecten van Teams-gecertificeerde apparaten beheren, inclusief configuratiebeleidsregels

TenantMaker

Wijs de rol Teant Creator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Maak zowel Azure Active Directory- als Azure Active Directory B2C-tenants, zelfs als de wisselknop voor het maken van de tenant is uitgeschakeld in de gebruikersinstellingen

Notitie

De tenantmakers krijgen de Globale beheerder rol toegewezen voor de nieuwe tenants die ze maken.

Acties Beschrijving
microsoft.directory/tenantManagement/tenants/create Nieuwe tenants maken in Azure Active Directory

Lezer van gebruiksoverzichtsrapporten

Gebruikers met deze rol hebben toegang tot geaggregeerde gegevens en bijbehorende inzichten op tenantniveau in het Microsoft 365-beheercentrum voor Gebruiksanalyse en Productiviteitsscore, maar hebben geen toegang tot details of inzichten op gebruikersniveau. In het Microsoft 365-beheercentrum wordt voor de twee rapporten onderscheid gemaakt tussen geaggregeerde gegevens op tenantniveau en details op gebruikersniveau. Deze rol biedt een extra laag voor bescherming van identificeerbare gegevens van afzonderlijke gebruikers, die is aangevraagd door klanten en juridische teams.

Acties Beschrijving
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Gebruikersbeheerder

Wijs de rol Gebruikersbeheerder toe aan gebruikers die het volgende moeten doen:

Machtiging Meer informatie
Gebruikers maken
De meeste gebruikerseigenschappen bijwerken voor alle gebruikers, inclusief alle beheerders Wie kan gevoelige acties uitvoeren
Gevoelige eigenschappen (inclusief user principal name) bijwerken voor sommige gebruikers Wie kan gevoelige acties uitvoeren
Sommige gebruikers uitschakelen of inschakelen Wie kan gevoelige acties uitvoeren
Sommige gebruikers verwijderen of herstellen Wie kan gevoelige acties uitvoeren
Gebruikersweergaven maken en beheren
Alle groepen maken en beheren
Licenties toewijzen voor alle gebruikers, inclusief alle beheerders
Wachtwoorden opnieuw instellen Wie kan wachtwoorden opnieuw instellen
Vernieuwingstokens ongeldig maken Wie kan wachtwoorden opnieuw instellen
(FIDO-)apparaatsleutels bijwerken
Beleid voor wachtwoordverloop bijwerken
Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Servicestatus bewaken

Gebruikers met deze rol kunnen het volgende niet doen:

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties binnen en buiten Azure Active Directory. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Azure AD en elders die niet worden verleend aan gebruikersbeheerders. Via dit pad kan een gebruikersbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure AD en elders.
  • Beheerders in andere services buiten Azure AD, zoals Exchange Online, het Office-centrum voor beveiliging en naleving, en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Alle eigenschappen van toegangsbeoordelingen voor Azure AD-roltoewijzingen lezen
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer
microsoft.directory/accessReviews/definitions.groups/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/create Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken.
microsoft.directory/accessReviews/definitions.groups/delete Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/contacts/create Contactpersonen maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen in Azure AD-rechtenbeheer lezen en bijwerken
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Azure Active Directory-groepen bijwerken die met Azure AD Connect moeten worden teruggeschreven naar on-premises
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/policies/standard/read Basiseigenschappen voor beleidsregels lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/create Gebruikers toevoegen
microsoft.directory/users/delete Gebruikers verwijderen
microsoft.directory/users/disable Gebruikers uitschakelen
microsoft.directory/users/enable Gebruikers inschakelen
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor virtuele bezoeken

Gebruikers met deze rol kunnen de volgende taken uitvoeren:

  • Alle aspecten van virtuele bezoeken in Bookings beheren en configureren in het Microsoft 365-beheercentrum en in de Teams EHR-connector
  • Gebruiksrapporten voor virtuele bezoeken bekijken in het Teams-beheercentrum, Microsoft 365-beheercentrum en Power BI
  • Functies en instellingen bekijken in het Microsoft 365-beheercentrum, maar geen instellingen bewerken

Virtuele bezoeken zijn een eenvoudige manier om online- en videoafspraken voor medewerkers en deelnemers te plannen en beheren. Gebruiksrapportage kan bijvoorbeeld laten zien hoe het verzenden van sms-berichten vóór afspraken ervoor kan zorgen dat minder personen niet komen opdagen voor hun afspraak.

Acties Beschrijving
microsoft.virtualVisits/allEntities/allProperties/allTasks Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Windows 365-beheerder

Gebruikers met deze rol hebben algemene machtigingen voor Windows 365-resources, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren.

Gebruikers met deze rol kunnen beveiligingsgroepen maken en beheren, maar hebben geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat beheerders eigenaren of lidmaatschappen van Microsoft 365-groepen in de organisatie niet kunnen bijwerken. Ze kunnen echter wel de Microsoft 365-groep beheren die ze maken als onderdeel van hun eindgebruikersbevoegdheden. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die ze maken, wordt meegeteld voor hun quotum van 250.

Wijs de rol 'Windows 365-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Windows 365 Cloud-pc's beheren in Microsoft Endpoint Manager
  • Apparaten inschrijven en beheren in Azure AD, inclusief het toewijzen van gebruikers en beleidsregels
  • Beveiligingsgroepen maken en beheren, maar geen groepen waaraan rollen kunnen worden toegewezen
  • Basiseigenschappen bekijken in het Microsoft 365-beheercentrum
  • Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties Beschrijving
microsoft.directory/deletedItems.devices/delete Apparaten die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/devices/create Apparaten maken (inschrijven bij Azure AD)
microsoft.directory/devices/delete Apparaten verwijderen uit Azure AD
microsoft.directory/devices/disable Apparaten uitschakelen in Azure AD
microsoft.directory/devices/enable Apparaten inschakelen in Azure AD
microsoft.directory/devices/basic/update Basiseigenschappen voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet1/update De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet2/update De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet3/update De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken
microsoft.directory/devices/registeredOwners/update Geregistreerde eigenaren van apparaten bijwerken
microsoft.directory/devices/registeredUsers/update Geregistreerde gebruikers van apparaten bijwerken
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/classification/update De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/visibility/update De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Windows Update-implementatiebeheerder

Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd, en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van updates bewaken.

Acties Beschrijving
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van Windows Update Service lezen en configureren

Yammer-beheerder

Wijs de rol 'Yammer-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van Yammer beheren
  • Microsoft 365-groepen maken, beheren en herstellen, maar geen groepen waaraan rollen kunnen worden toegewezen
  • De verborgen leden van beveiligingsgroepen en Microsoft 365-groepen bekijken, inclusief groepen waaraan rollen kunnen worden toegewezen
  • Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
  • Aankondigingen bekijken in het Berichtencentrum, maar geen beveiligingsaankondigingen
  • Servicestatus weergeven

Meer informatie

Acties Beschrijving
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/allTasks Alle aspecten van Yammer beheren

Rolmachtigingen begrijpen

Het schema voor machtigingen volgt losjes de REST-indeling van Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Bijvoorbeeld:

microsoft.directory/applications/credentials/update

Machtigingselement Description
naamruimte Product dat of service die de taak beschikbaar maakt en wordt voorafgegaan door microsoft. Alle taken in Azure AD gebruiken bijvoorbeeld de naamruimte microsoft.directory.
entiteit Logische functie of component die door de service beschikbaar wordt gemaakt in Microsoft Graph. Azure AD maakt bijvoorbeeld Gebruikers en Groepen beschikbaar, OneNote maakt Notities beschikbaar en Exchange maakt Postvakken en Agenda's beschikbaar. Er is een speciaal allEntities-trefwoord voor het opgeven van alle entiteiten in een naamruimte. Dit wordt vaak gebruikt in rollen die toegang verlenen tot een heel product.
propertySet Specifieke eigenschappen of aspecten van de entiteit waarvoor toegang wordt verleend. microsoft.directory/applications/authentication/read biedt bijvoorbeeld de mogelijkheid om de antwoord-URL, afmeldings-URL en impliciete-stroomeigenschap te lezen voor het toepassingsobject in Azure AD.
  • allProperties wijst alle eigenschappen van de entiteit aan, inclusief bevoorrechte eigenschappen.
  • standard wijst algemene eigenschappen aan, maar sluit bevoorrechte eigenschappen met betrekking tot de actie read uit. microsoft.directory/user/standard/read bevat bijvoorbeeld de mogelijkheid om standaardeigenschappen te lezen, zoals een openbaar telefoonnummer en e-mailadres, maar niet het persoonlijke secundaire telefoonnummer of e-mailadres dat wordt gebruikt voor meervoudige verificatie.
  • basic wijst algemene eigenschappen aan, maar sluit bevoorrechte eigenschappen met betrekking tot de actie update uit. De set eigenschappen die u kunt lezen, kan afwijken van wat u kunt bijwerken. Daarom zijn er standard- en basic-trefwoorden om dat te weerspiegelen.
action De bewerking die wordt verleend, meestal maken, lezen, bijwerken of verwijderen (CRUD). Er is een speciaal allTasks-trefwoord voor het opgeven van alle bovenstaande mogelijkheden (maken, lezen, bijwerken en verwijderen).

Afgeschafte rollen

De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst uit Azure AD verwijderd.

  • Ad-hoclicentiebeheerder
  • Apparaatkoppeling
  • Apparaatbeheerders
  • Apparaatgebruikers
  • Maker van via e-mail geverifieerde gebruikers
  • Postvakbeheerder
  • Werkplekapparaatkoppeling

Rollen die niet worden weergegeven in de portal

Niet elke rol die wordt geretourneerd door PowerShell of de Microsoft Graph-API is zichtbaar in de Azure-portal. In de volgende tabel worden deze verschillen weergegeven.

API-naam Azure-portaalnaam Notities
Apparaatkoppeling Afgeschaft Documentatie over afgeschafte rollen
Apparaatbeheerders Afgeschaft Documentatie over afgeschafte rollen
Apparaatgebruikers Afgeschaft Documentatie over afgeschafte rollen
Adreslijstsynchronisatieaccounts Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over adreslijstsynchronisatieaccounts
Gastgebruiker Niet weergegeven omdat deze niet mag worden gebruikt N.v.t.
Partnerondersteuning voor laag 1 Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over partnerondersteuning voor laag 1
Partnerondersteuning voor laag 2 Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over partnerondersteuning voor laag 2
Beperkte gastgebruiker Niet weergegeven omdat deze niet mag worden gebruikt NA
Gebruiker Niet weergegeven omdat deze niet mag worden gebruikt N.v.t.
Werkplekapparaatkoppeling Afgeschaft Documentatie over afgeschafte rollen

Wie wachtwoorden opnieuw kan instellen

In de volgende tabel worden in de kolommen de rollen vermeld die wachtwoorden opnieuw kunnen instellen en vernieuwingstokens ongeldig kunnen maken. De rijen bevatten de rollen waarvoor het wachtwoord opnieuw kan worden ingesteld.

De volgende tabel is voor rollen die zijn toegewezen in het bereik van een tenant. Voor rollen die zijn toegewezen in het bereik van een beheereenheid, gelden verdere beperkingen.

Rol waarvoor het wachtwoord opnieuw kan worden ingesteld Wachtwoordbeheerder Helpdeskbeheerder Verificatiebeheerder Gebruikersbeheerder Bevoorrechte verificatiebeheerder Globale beheerder
Verificatiebeheerder     ✔️   ✔️ ✔️
Lezers van mappen ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Globale beheerder         ✔️ ✔️*
Groepsbeheerder       ✔️ ✔️ ✔️
Afzender van gastuitnodigingen ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Helpdeskbeheerder   ✔️   ✔️ ✔️ ✔️
Berichtencentrum-lezer   ✔️ ✔️ ✔️ ✔️ ✔️
Wachtwoordbeheerder ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Bevoorrechte verificatiebeheerder         ✔️ ✔️
Beheerder voor bevoorrechte rollen         ✔️ ✔️
Rapportenlezer   ✔️ ✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol, maar lid of eigenaar van een groep waaraan rollen kunnen worden toegewezen)
        ✔️ ✔️
Gebruikersbeheerder       ✔️ ✔️ ✔️
Lezer van gebruiksoverzichtsrapporten   ✔️ ✔️ ✔️ ✔️ ✔️

*Een globale beheerder kan zijn/haar eigen 'Globale beheerder'-toewijzing niet verwijderen. Dit is om te voorkomen dat een organisatie 0 globale beheerders heeft.

Notitie

De mogelijkheid om een wachtwoord opnieuw in te stellen omvat de mogelijkheid om de volgende gevoelige eigenschappen bij te werken die vereist zijn voor selfservice voor wachtwoordherstel:

  • businessPhones
  • mobilePhone
  • otherMails

Wie kan gevoelige acties uitvoeren

Sommige beheerders kunnen voor sommige gebruikers de volgende gevoelige acties uitvoeren. Alle gebruikers kunnen de gevoelige eigenschappen lezen.

Gevoelige actie Naam van gevoelige eigenschap
Gebruikers uitschakelen of inschakelen accountEnabled
Zakelijke telefoon bijwerken businessPhones
Mobiele telefoon bijwerken mobilePhone
On-premises onveranderbare id bijwerken onPremisesImmutableId
Andere e-mailberichten bijwerken otherMails
Wachtwoordprofiel bijwerken passwordProfile
User Principal Name bijwerken userPrincipalName
Gebruikers verwijderen of herstellen Niet van toepassing

In de volgende tabel worden in de kolommen de rollen vermeld die gevoelige acties kunnen uitvoeren. De rijen bevatten de rollen waarvoor de gevoelige actie kan worden uitgevoerd.

De volgende tabel is voor rollen die zijn toegewezen in het bereik van een tenant. Voor rollen die zijn toegewezen in het bereik van een beheereenheid, gelden verdere beperkingen.

Rol waarop gevoelige actie kan worden uitgevoerd Verificatiebeheerder Gebruikersbeheerder Bevoorrechte verificatiebeheerder Globale beheerder
Verificatiebeheerder ✔️   ✔️ ✔️
Lezers van mappen ✔️ ✔️ ✔️ ✔️
Globale beheerder     ✔️ ✔️
Groepsbeheerder   ✔️ ✔️ ✔️
Afzender van gastuitnodigingen ✔️ ✔️ ✔️ ✔️
Helpdeskbeheerder   ✔️ ✔️ ✔️
Berichtencentrum-lezer ✔️ ✔️ ✔️ ✔️
Wachtwoordbeheerder ✔️ ✔️ ✔️ ✔️
Bevoorrechte verificatiebeheerder     ✔️ ✔️
Beheerder voor bevoorrechte rollen     ✔️ ✔️
Rapportenlezer ✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol)
✔️ ✔️ ✔️ ✔️
Gebruiker
(geen beheerdersrol, maar lid of eigenaar van een groep waaraan rollen kunnen worden toegewezen)
    ✔️ ✔️
Gebruikersbeheerder   ✔️ ✔️ ✔️
Lezer van gebruiksoverzichtsrapporten ✔️ ✔️ ✔️ ✔️

Volgende stappen