Ingebouwde Microsoft Entra-rollen
Als een andere beheerder of niet-beheerder microsoft Entra-resources moet beheren, wijst u in Microsoft Entra-id een Microsoft Entra-rol toe die de benodigde machtigingen biedt. U kunt bijvoorbeeld rollen toewijzen waarmee gebruikers toegevoegd of gewijzigd, gebruikerswachtwoorden opnieuw ingesteld, gebruikerslicenties beheerd of domeinnamen beheerd kunnen worden.
Dit artikel bevat de ingebouwde Microsoft Entra-rollen die u kunt toewijzen om het beheer van Microsoft Entra-resources toe te staan. Zie Microsoft Entra-rollen toewijzen aan gebruikers voor meer informatie over het toewijzen van rollen. Zie Ingebouwde Azure-rollen als u op zoek bent naar rollen voor het beheren van Azure-resources.
Alle rollen
| Rol | Beschrijving | Sjabloon-id |
|---|---|---|
| Toepassingsbeheerder | Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Toepassingsontwikkelaar | Kan toepassingsregistraties maken, ongeacht de instelling voor 'Gebruikers kunnen toepassingen registreren'. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Auteur van aanvalspayload | Kan aanvalspayloads maken die een beheerder later kan starten. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Beheerder van aanvalssimulatie | Kan alle aspecten van simulatiecampagnes voor aanvallen maken en beheren. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Kenmerktoewijzingsbeheerder | Wijs aangepaste beveiligingskenmerksleutels en -waarden toe aan ondersteunde Microsoft Entra-objecten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Lezer van kenmerktoewijzing | Lees aangepaste beveiligingskenmerksleutels en -waarden voor ondersteunde Microsoft Entra-objecten. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Kenmerkdefinitiebeheerder | Kan de definitie van aangepaste beveiligingskenmerken definiëren en beheren. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Kenmerkdefinitielezer | Kan de definitie van aangepaste beveiligingskenmerken lezen. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Kenmerklogboek Beheer istrator | Lees auditlogboeken en configureer diagnostische instellingen voor gebeurtenissen met betrekking tot aangepaste beveiligingskenmerken. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Kenmerklogboeklezer | Lees auditlogboeken met betrekking tot aangepaste beveiligingskenmerken. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Verificatie-Beheer istrator | Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker die geen beheerder is. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Beheerder van verificatiebeleid | Kan het beleid voor verificatiemethoden, tenantbrede MFA-instellingen, wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Lokale beheerder voor Azure AD-gekoppelde apparaten | Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd aan de lokale beheerdersgroep op apparaten die zijn toegevoegd aan Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps Beheer istrator | Kan Azure DevOps-beleid en -instellingen beheren. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-Beheer istrator | Kan alle aspecten van het Azure Information Protection-product beheren. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF Keyset Beheer istrator | Kan geheimen voor federatie en versleuteling in Identity Experience Framework (IEF) beheren. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF-beleid Beheer istrator | Kan beleid voor het vertrouwensframework in Identity Experience Framework (IEF) maken en beheren. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Factureringsbeheerder | Kan algemene taken met betrekking tot facturering uitvoeren, zoals betalingsgegevens bijwerken. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security-beheerder | Kan alle aspecten van het Defender for Cloud Apps-product beheren. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Beheerder van de cloudtoepassing | Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren, behalve App Proxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Cloudapparaatbeheerder | Beperkte toegang voor het beheren van apparaten in Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Nalevings-Beheer istrator | Kan nalevingsconfiguratie en -rapporten lezen en beheren in Microsoft Entra-id en Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Compliancegegevens Beheer istrator | Kan nalevingsinhoud maken en beheren. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Voorwaardelijke toegang Beheer istrator | Kan de mogelijkheden van voorwaardelijke toegang beheren. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Fiatteur voor klanten-LockBox-toegang | Kan Microsoft-ondersteuningsaanvragen voor toegang tot bedrijfsgegevens van klanten goedkeuren. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics-Beheer istrator | Heeft toegang tot bureaubladbeheerhulpprogramma's en -services en kan deze beheren. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Adreslijstlezers | Kunnen basisdirectorygegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Adreslijstsynchronisatieaccounts | Alleen gebruikt door de Microsoft Entra Verbinding maken-service. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Adreslijstschrijvers | Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Beheerder van domeinnamen | Kan domeinnamen in de cloud en on-premises beheren. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-beheerder | Kan alle aspecten van het Dynamics 365-product beheren. | 44367163-eba1-44c3-98af-f5787879f96a |
| Edge-beheerder | Kan alle aspecten van Microsoft Edge beheren. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange Beheer istrator | Kan alle aspecten van het Exchange-product beheren. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Beheerder van Exchange-ontvangers | Kan Exchange Online-ontvangers maken of bijwerken binnen de Exchange Online-organisatie. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Gebruikersstroom voor externe id's Beheer istrator | Kan alle aspecten van gebruikersstromen maken en beheren. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Kenmerk van externe id-gebruikersstroom Beheer istrator | Kan het kenmerkschema dat beschikbaar is voor alle gebruikersstromen, maken en beheren. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Externe id-provider Beheer istrator | Kan id-providers voor gebruik in directe federatie configureren. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Fabric Beheer istrator | Kan alle aspecten van de Fabric- en Power BI-producten beheren. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Algemene beheerder | Kan alle aspecten van Microsoft Entra-id en Microsoft-services beheren die gebruikmaken van Microsoft Entra-identiteiten. |
62e90394-69f5-4237-9190-012177145e10 |
| Globale lezer | Kan alles lezen wat een globale beheerder kan lezen, maar kan niets bijwerken. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Global Secure Access Beheer istrator | Maak en beheer alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang, waaronder het beheren van toegang tot openbare en privé-eindpunten. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Groepen Beheer istrator | Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Gastnodiger | Kan onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen' gastgebruikers uitnodigen. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Helpdesk-Beheer istrator | Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybride identiteit Beheer istrator | Kan Active Directory beheren voor Microsoft Entra-cloudinrichting, Microsoft Entra Verbinding maken, PassThrough-verificatie (PTA), Wachtwoord-hashsynchronisatie (PHS), Naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance-beheerder | Toegang beheren met behulp van Microsoft Entra ID voor identiteitsbeheerscenario's. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Inzichten Beheer istrator | Heeft beheerderstoegang in de Microsoft 365 Insights-app. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights-analist | Heeft toegang tot de analytische mogelijkheden in Microsoft Viva Insights en voert aangepaste query's uit. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Kan dashboards en inzichten bekijken en delen via de Microsoft 365 Insights-app. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune-beheerder | Kan alle aspecten van het Intune-product beheren. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala Beheer istrator | Kan instellingen voor Microsoft Kaizala beheren. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Kennisbeheerder | Kan kennis, leren en andere intelligente functies configureren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Kennismanager | Kan onderwerpen en kennis organiseren, maken, beheren en promoten. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Licentie-Beheer istrator | Kan productlicenties voor gebruikers en groepen beheren. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Beheerder van levenscycluswerkstromen | Maak en beheer alle aspecten van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra ID. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Privacylezer van berichtencentrum | Kan alleen beveiligingsberichten en -updates lezen in het Office 365-berichtencentrum. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Berichtencentrumlezer | Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft Hardware Garantie Beheer istrator | Maak en beheer alle aspecten garantieclaims en rechten voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft Hardware Garantie Specialist | Garantieclaims voor door Microsoft geproduceerde hardware maken en lezen, zoals Surface en HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Modern Commerce-gebruiker | Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. | d24aef57-1500-4070-84db-2666f29cf966 |
| Netwerk-Beheer istrator | Kan netwerklocaties beheren en inzichten in bedrijfsnetwerkontwerp bekijken voor Microsoft 365 Software as a Service-toepassingen. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office-apps Beheer istrator | Kan cloudservices voor Office-apps beheren, waaronder beheer van beleid en instellingen. Kan tevens de mogelijkheid beheren om inhoud van de functie 'wat is er nieuw' te selecteren, de selectie van inhoud op te heffen en inhoud te publiceren naar apparaten van eindgebruikers. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Schrijver van organisatieberichten | Schrijf, publiceer, beheer en controleer de organisatieberichten voor eindgebruikers via Microsoft-productoppervlakken. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Ondersteuning voor partnerlaag1 | Niet gebruiken – niet bedoeld voor algemeen gebruik. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Ondersteuning voor Partner Tier2 | Niet gebruiken – niet bedoeld voor algemeen gebruik. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Wachtwoord Beheer istrator | Kan wachtwoorden voor niet-beheerders en wachtwoordbeheerders opnieuw instellen. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Machtigingenbeheer Beheer istrator | Beheer alle aspecten van Microsoft Entra-machtigingsbeheer. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform Beheer istrator | Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate maken en beheren. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Printer Beheer istrator | Kan alle aspecten van printers en printerconnectors beheren. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Printertechnicus | Kan printers registreren, de registratie hiervan ongedaan maken en de printerstatus bijwerken. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Bevoegde verificatie Beheer istrator | Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker (beheerder of niet-beheerder). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Beheerder voor bevoorrechte rollen | Kan roltoewijzingen beheren in Microsoft Entra ID en alle aspecten van Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Rapportlezer | Kan aanmeldings- en auditrapporten lezen. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Zoeken Beheer istrator | Kan alle aspecten van Microsoft Search-instellingen maken en beheren. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Zoekeditor | Kan de redactionele inhoud maken en beheren, zoals bladwijzers, vragen en antwoorden, locaties en plattegronden. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Beveiligingsbeheerder | Kan beveiligingsgegevens en -rapporten lezen en de configuratie beheren in Microsoft Entra-id en Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Beveiligingsoperator | Kan beveiligingsgebeurtenissen maken en beheren. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Beveiligingslezer | Kan beveiligingsgegevens en -rapporten lezen in Microsoft Entra ID en Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Serviceondersteuning Beheer istrator | Kan gegevens over de servicestatus lezen en ondersteuningstickets beheren. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint-beheerder | Kan alle aspecten van de SharePoint-service beheren. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype voor Bedrijven-beheerder | Kan alle aspecten van het Skype voor Bedrijven-product beheren. | 75941009-915a-4869-abe7-691bff18279e |
| Teams-beheerder | Kan de Microsoft Teams-service beheren. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams Communications Beheer istrator | Kan de aanroep- en vergaderfuncties van de Microsoft Teams-service beheren. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teams Communications Support Engineer | Kan communicatieproblemen in Teams oplossen met geavanceerde hulpprogramma's. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Teams Communications Support Specialist | Kan communicatieproblemen in Teams oplossen met basishulpprogramma's. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams-apparaten Beheer istrator | Kan beheertaken uitvoeren op voor Teams gecertificeerde apparaten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Maker van tenant | Maak nieuwe Microsoft Entra- of Azure AD B2C-tenants. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Lezer van gebruiksoverzichtsrapporten | Lees gebruiksrapporten en acceptatiescore, maar heeft geen toegang tot gebruikersgegevens. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Beheerder voor virtuele bezoeken | Kan informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Goals Beheer istrator | Beheer en configureer alle aspecten van Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse Beheer istrator | Kan alle instellingen voor de Microsoft Viva Pulse-app beheren. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365-beheerder | Kan alle aspecten van cloud-pc's inrichten en beheren. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update-implementatiebeheerder | Kan alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer-beheerder | Kan alle aspecten van de Yammer-service beheren. | 810a2642-a034-447f-a5e8-41beaa378541 |
Toepassingsbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol biedt ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Microsoft Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen van (d.w.z. toestemming geven voor) deze machtigingen vereist een meer bevoegde beheerder, zoals een globale beheerder.
Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id |
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/applicationProxy/read | Alle eigenschappen van de toepassingsproxy lezen |
| microsoft.directory/applications/applicationProxy/update | Alle eigenschappen van de toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxyAuthentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/applicationProxySslCertificate/update | SSL-certificaatinstellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/applicationProxyUrlSettings/update | URL-instellingen voor toepassingsproxy bijwerken |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/verification/update | De eigenschap applicationsverification bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantiëren vanuit toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/connectors/create | Toepassingsproxyconnectors maken |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectors lezen |
| microsoft.directory/connectorGroups/create | Connectorgroepen voor de toepassingsproxy maken |
| microsoft.directory/connectorGroups/delete | Connectorgroepen voor de toepassingsproxy verwijderen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen |
| microsoft.directory/connectorGroups/allProperties/update | Alle eigenschappen van de connectorgroepen van de toepassingsproxy bijwerken |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Aangepaste verificatie-extensies maken en beheren |
| microsoft.directory/deletedItems.applications/delete | Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen |
| microsoft.directory/deletedItems.applications/restore | Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applicationPolicies/create | Toepassingsbeleid maken |
| microsoft.directory/applicationPolicies/delete | Toepassingsbeleidsregels verwijderen |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
| microsoft.directory/applicationPolicies/owners/read | De eigenaren van toepassingsbeleidsregels lezen |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Toepassingsbeleid dat is toegepast op de objectenlijst lezen |
| microsoft.directory/applicationPolicies/basic/update | Standaardeigenschappen van toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/owners/update | De eigenaarseigenschap van toepassingsbeleid bijwerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor toepassingsinrichting beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepeigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tageigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Toepassingsontwikkelaar
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee. Deze rol biedt ook de mogelijkheid om namens zichzelf toestemming te geven wanneer de instelling 'Gebruikers kunnen toestaan dat apps namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/createAsOwner | Alle typen toepassingen maken, en de maker wordt toegevoegd als de eerste eigenaar |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | OAuth 2.0-machtigingsverlening maken, met maker als eerste eigenaar |
| microsoft.directory/servicePrincipals/createAsOwner | Service-principals maken, met maker als eerste eigenaar |
Auteur van aanvalspayload
Gebruikers met deze rol kunnen aanvalspayloads maken, maar kunnen de payloads niet starten of plannen. De aanvalspayloads zijn vervolgens beschikbaar voor alle beheerders in de tenant, die de payloads kunnen gebruiken om een simulatie te maken.
Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Aanvalspayloads maken en beheren in Aanvalssimulatie |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
Beheerder van aanvalssimulatie
Gebruikers met deze rol kunnen alle aspecten van het maken van aanvalssimulaties, het starten/plannen van een simulatie en het beoordelen van de simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.
Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Aanvalspayloads maken en beheren in Aanvalssimulatie |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie |
Kenmerktoewijzingsbeheerder
Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden toewijzen en verwijderen voor ondersteunde Microsoft Entra-objecten, zoals gebruikers, service-principals en apparaten.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
| microsoft.directory/devices/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen |
| microsoft.directory/devices/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor apparaten bijwerken |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor service-principals bijwerken |
| microsoft.directory/users/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen |
| microsoft.directory/users/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor gebruikers bijwerken |
Lezer van kenmerktoewijzing
Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden lezen voor ondersteunde Microsoft Entra-objecten.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
| microsoft.directory/devices/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen |
| microsoft.directory/users/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen |
Kenmerkdefinitiebeheerder
Gebruikers met deze rol kunnen een geldige set aangepaste beveiligingskenmerken definiëren die kunnen worden toegewezen aan ondersteunde Microsoft Entra-objecten. Met deze rol kunnen ook aangepaste beveiligingskenmerken worden geactiveerd en gedeactiveerd.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Alle aspecten van kenmerkensets beheren |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren |
Lezer van kenmerkdefinitie
Gebruikers met deze rol kunnen de definitie van aangepaste beveiligingskenmerken lezen.
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken. Als u wilt werken met aangepaste beveiligingskenmerken, moet een van de aangepaste beveiligingskenmerkrollen aan u zijn toegewezen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
Kenmerklogboek Beheer istrator
Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:
- Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities
- Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken
Gebruikers met deze rol kunnen geen auditlogboeken lezen voor andere gebeurtenissen.
Global Beheer istrator en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen van auditlogboeken voor aangepaste beveiligingskenmerken. Als u auditlogboeken wilt lezen voor aangepaste beveiligingskenmerken, moet u deze rol of de rol Lezer voor kenmerklogboeken toewijzen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken |
| microsoft.azure.customSecurityAttributeDiagnostic Instellingen/allEntities/allProperties/allTasks | Alle aspecten van diagnostische instellingen voor aangepaste beveiligingskenmerken configureren |
Kenmerklogboeklezer
Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:
- Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities
Gebruikers met deze rol kunnen de volgende taken niet uitvoeren:
- Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor andere gebeurtenissen
Global Beheer istrator en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen van auditlogboeken voor aangepaste beveiligingskenmerken. Als u auditlogboeken wilt lezen voor aangepaste beveiligingskenmerken, moet u deze rol of de rol kenmerklogboek Beheer istrator toewijzen.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken |
Verificatiebeheerder
Dit is een bevoorrechte rol. Wijs de rol Verificatie Beheer istrator toe aan gebruikers die het volgende moeten doen:
- Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor niet-beheerders en sommige rollen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een verificatiebeheerder verificatiemethoden kan lezen of bijwerken.
- Vereisen dat gebruikers die niet-beheerders zijn of aan bepaalde rollen zijn toegewezen om zich opnieuw te registreren tegen bestaande referenties voor niet-wachtwoord (bijvoorbeeld MFA of FIDO), en die ook MFA kunnen intrekken op het apparaat, waarmee MFA wordt gevraagd bij de volgende aanmelding.
- Voer gevoelige acties uit voor sommige gebruikers. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
- Kan MFA-instellingen niet beheren in de verouderde MFA-beheerportal of hardware-OATH-tokens. Dezelfde functies kunnen worden uitgevoerd met behulp van de cmdlet Set-MsolUser in de Azure AD PowerShell-module.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
| Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
|---|---|---|---|---|---|---|---|
| Verificatie-Beheer istrator | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
| Bevoegde verificatie Beheer istrator | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
| Beheerder van verificatiebeleid | Nee | Nee | Ja | Ja | Ja | Nee | Nee |
| Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra ID en elders die niet zijn verleend aan verificatie-Beheer istrators. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheer istrators in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/deletedItems.users/restore | Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van verificatiebeleid
Wijs de rol verificatiebeleid Beheer istrator toe aan gebruikers die het volgende moeten doen:
- Configureer het beleid voor verificatiemethoden, tenantbrede MFA-instellingen en wachtwoordbeveiligingsbeleid waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
- Instellingen voor wachtwoordbeveiliging beheren: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.
- Verifieerbare referenties maken en beheren.
- Maak en beheer ondersteuning voor Azure tickets.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan gevoelige eigenschappen niet bijwerken. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
- Kan gebruikers niet verwijderen of herstellen. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
- Kan MFA-instellingen niet beheren in de verouderde MFA-beheerportal of hardware-OATH-tokens.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
| Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
|---|---|---|---|---|---|---|---|
| Verificatie-Beheer istrator | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
| Bevoegde verificatie Beheer istrator | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
| Beheerder van verificatiebeleid | Nee | Nee | Ja | Ja | Ja | Nee | Nee |
| Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren |
| microsoft.directory/userCredentialPolicies/create | Referentiebeleid voor gebruikers maken |
| microsoft.directory/userCredentialPolicies/delete | Referentiebeleid voor gebruikers verwijderen |
| microsoft.directory/userCredentialPolicies/standard/read | Standaardeigenschappen van referentiebeleid voor gebruikers lezen |
| microsoft.directory/userCredentialPolicies/owners/read | Eigenaren van referentiebeleid voor gebruikers lezen |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Navigatiekoppeling policy.appliesTo lezen |
| microsoft.directory/userCredentialPolicies/basic/update | Basisbeleid voor gebruikers bijwerken |
| microsoft.directory/userCredentialPolicies/owners/update | Eigenaren van referentiebeleid voor gebruikers bijwerken |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Eigenschap policy.isOrganizationDefault bijwerken |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een kaart met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Een kaart met verifieerbare referenties intrekken |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Een contract met verifieerbare referenties maken |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een contract met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Een contract met verifieerbare referenties bijwerken |
| microsoft.directory/verifiableCredentials/configuration/create | Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/delete | Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
Lokale beheerder voor Azure AD-gekoppelde apparaten
Deze rol is alleen beschikbaar voor toewijzing als aanvullende lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale computerbeheerders op alle Windows 10-apparaten die lid zijn van Microsoft Entra ID. Ze hebben niet de mogelijkheid om apparaatobjecten in Microsoft Entra-id te beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groupSettings/standard/read | Basiseigenschappen voor groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor sjablonen voor groepsinstellingen lezen |
Azure DevOps-beheerder
Gebruikers met deze rol kunnen alle Azure DevOps-beleidsregels voor ondernemingen beheren, die van toepassing zijn op alle Azure DevOps-organisaties die worden ondersteund door Microsoft Entra-id. Gebruikers in deze rol kunnen dit beleid beheren door te navigeren naar elke Azure DevOps-organisatie die wordt ondersteund door de Microsoft Entra-id van het bedrijf. Daarnaast kunnen gebruikers met deze rol eigendom van zwevende Azure DevOps-organisaties claimen. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld projectverzameling Beheer istrators) binnen een van de Azure DevOps-organisaties die worden ondersteund door de Microsoft Entra-organisatie van het bedrijf.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Azure DevOps lezen en configureren |
Azure Information Protection-beheerder
Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection-service. Met deze rol kunt u labels configureren voor het Azure Information Protection-beleid, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in de portal Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-portal of Microsoft Purview-nalevingsportal.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van Azure Information Protection beheren |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van B2C IEF-sleutelset
Dit is een bevoorrechte rol. Gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder geheimen indien nodig verlengen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs nadat ze zijn gemaakt.
Belangrijk
Dit is een gevoelige rol. De rol Sleutelsetbeheerder moet zorgvuldig worden gecontroleerd en met zorg worden toegewezen tijdens preproductie en productie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Sleutelsets in Azure Active Directory B2C lezen en configureren |
Beheerder van B2C IEF-beleid
Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over het Identity Experience Framework in de relevante Azure AD B2C-organisatie. Door beleidsregels te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersgerichte inhoud (HTML, CSS, JavaScript) wijzigen, de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens (inclusief volledige migraties) verzenden naar externe systemen en alle gebruikersgegevens bewerken, inclusief gevoelige velden zoals wachtwoorden en telefoonnummers. Omgekeerd kan deze rol niet de versleutelingssleutels wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.
Belangrijk
De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauw worden gecontroleerd, met name voor organisaties in productie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Aangepaste beleidsregels in Azure Active Directory B2C lezen en configureren |
Factureringsbeheerder
Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/organization/basic/update | Basiseigenschappen voor organisatie bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Alle aspecten van Office 365-facturering beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Cloud App Security-beheerder
Gebruikers met deze rol hebben volledige machtigingen in Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen voor Microsoft Defender for Cloud Apps toevoegen, logboeken uploaden en beheeracties uitvoeren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van de cloudtoepassing
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Deze rol biedt de mogelijkheid om alle aspecten van bedrijfstoepassingen en toepassingsregistraties te maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol biedt ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Microsoft Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld niet-Microsoft-apps of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen van (d.w.z. toestemming geven voor) deze machtigingen vereist een meer bevoegde beheerder, zoals een globale beheerder.
Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id |
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/verification/update | De eigenschap applicationsverification bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantiëren vanuit toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/deletedItems.applications/delete | Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen |
| microsoft.directory/deletedItems.applications/restore | Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applicationPolicies/create | Toepassingsbeleid maken |
| microsoft.directory/applicationPolicies/delete | Toepassingsbeleidsregels verwijderen |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
| microsoft.directory/applicationPolicies/owners/read | De eigenaren van toepassingsbeleidsregels lezen |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Toepassingsbeleid dat is toegepast op de objectenlijst lezen |
| microsoft.directory/applicationPolicies/basic/update | Standaardeigenschappen van toepassingsbeleid bijwerken |
| microsoft.directory/applicationPolicies/owners/update | De eigenaarseigenschap van toepassingsbeleid bijwerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor toepassingsinrichting beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepeigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tageigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Cloudapparaatbeheerder
Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen apparaten in Microsoft Entra-id inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels (indien aanwezig) lezen in Azure Portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/deletedItems.devices/delete | Apparaten permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.devices/restore | Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Microsoft Entra-id |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Microsoft Entra-id |
| microsoft.directory/devices/enable | Apparaten inschakelen in Microsoft Entra-id |
| microsoft.directory/deviceLocalCredentials/password/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen |
| microsoft.directory/deviceManagementPolicies/basic/update | Basiseigenschappen voor toepassingsbeleidsregels voor apparaatbeheer bijwerken |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
Nalevings-Beheer istrator
Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsgerelateerde functies in de portal van Microsoft Purview-nalevingsportal, Microsoft 365-beheercentrum, Azure en Microsoft 365 Defender. Toegewezen personen kunnen ook alle functies in het Exchange-beheercentrum beheren en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Naleving van Microsoft Purview voor meer informatie.
| Over | Wel |
|---|---|
| Microsoft Purview-nalevingsportal | De gegevens van uw organisatie beveiligen en beheren in Microsoft 365-services Nalevingswaarschuwingen beheren |
| Microsoft Purview Compliancebeheer | De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren |
| Microsoft 365 Defender-portal | Gegevensbeheer beheren Juridisch en gegevensonderzoek uitvoeren Aanvraag van betrokkene beheren Deze rol heeft dezelfde machtigingen als de rolgroep Compliance Beheer istrator in op rollen gebaseerd toegangsbeheer in de Microsoft 365 Defender-portal. |
| Intune | Alle Intune-controlegegevens bekijken |
| Microsoft Defender voor Cloud-apps | Heeft alleen-lezen machtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken |
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliancebeheer beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Compliancegegevens Beheer istrator
Gebruikers met deze rol hebben machtigingen voor het bijhouden van gegevens in de Microsoft Purview-nalevingsportal, het Microsoft 365-beheercentrum en Azure. Gebruikers kunnen ook nalevingsgegevens bijhouden in het Exchange-beheercentrum, Compliancebeheer en het beheercentrum van Teams en Skype voor Bedrijven en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over de verschillen tussen nalevings- Beheer istrator en compliance Beheer gegevens voor naleving van compliance.
| Over | Wel |
|---|---|
| Microsoft Purview-nalevingsportal | Nalevingsgerelateerde beleidsregels bewaken in Microsoft 365-services Nalevingswaarschuwingen beheren |
| Microsoft Purview Compliancebeheer | De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren |
| Microsoft 365 Defender-portal | Gegevensbeheer beheren Juridisch en gegevensonderzoek uitvoeren Aanvraag van betrokkene beheren Deze rol heeft dezelfde machtigingen als de rollengroep Compliancegegevens Beheer istrator in microsoft 365 Defender-portal op basis van toegangsbeheer. |
| Intune | Alle Intune-controlegegevens bekijken |
| Microsoft Defender voor Cloud-apps | Heeft alleen-lezen machtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van Azure Information Protection beheren |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliancebeheer beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Voorwaardelijke toegang Beheer istrator
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen voor voorwaardelijke toegang van Microsoft Entra beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/namedLocations/create | Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/delete | Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/basic/update | Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/owners/update | Eigenaren bijwerken voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365 |
Toegangsfiatteur voor Klanten-lockbox
Beheert Microsoft Purview Customer Lockbox-aanvragen in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox-aanvragen en kunnen aanvragen van het Microsoft 365-beheercentrum goedkeuren en weigeren. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden van personen die aan deze rol zijn toegewezen, opnieuw instellen.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Alle aspecten van Klanten-lockbox beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Desktop Analytics-beheerder
Gebruikers met deze rol kunnen de Desktop Analytics-service beheren. Dit omvat de mogelijkheid om de assetvoorraad te bekijken, implementatieplannen te maken en de implementatie- en gezondheidsstatus te bekijken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Alle aspecten van Desktop Analytics beheren |
Lezers van mappen
Gebruikers met deze rol kunnen basisdirectorygegevens lezen Deze rol moet worden gebruikt voor:
- Het verlenen van leestoegang aan een specifieke set gastgebruikers in plaats van aan alle gastgebruikers.
- Het verlenen van een specifieke set niet-beheerderstoegang tot Azure Portal wanneer 'Alleen toegang tot Azure Portal beperken tot beheerders' is ingesteld op Ja.
- Het verlenen van toegang tot directory aan service-principals waarbij Directory.Read.All geen optie is.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Basiseigenschappen voor beheereenheden lezen |
| microsoft.directory/administrativeUnits/members/read | Leden van beheereenheden lezen |
| microsoft.directory/applications/standard/read | Standaardeigenschappen van toepassingen lezen |
| microsoft.directory/applications/owners/read | Eigenaren van toepassingen lezen |
| microsoft.directory/applications/policies/read | Beleid van toepassingen lezen |
| microsoft.directory/contacts/standard/read | Basiseigenschappen voor contactpersonen lezen in Microsoft Entra-id |
| microsoft.directory/contacts/memberOf/read | Lees het groepslidmaatschap voor alle contactpersonen in Microsoft Entra ID |
| microsoft.directory/contracts/standard/read | Basiseigenschappen voor partnercontracten lezen |
| microsoft.directory/devices/standard/read | Basiseigenschappen voor apparaten lezen |
| microsoft.directory/devices/memberOf/read | Apparaatlidmaatschappen lezen |
| microsoft.directory/devices/registeredOwners/read | Geregistreerde eigenaren van apparaten lezen |
| microsoft.directory/devices/registeredUsers/read | Geregistreerde gebruikers van apparaten lezen |
| microsoft.directory/directoryRoles/standard/read | Basiseigenschappen van Microsoft Entra-rollen lezen |
| microsoft.directory/directoryRoles/eligibleMembers/read | De in aanmerking komende leden van Microsoft Entra-rollen lezen |
| microsoft.directory/directoryRoles/members/read | Alle leden van Microsoft Entra-rollen lezen |
| microsoft.directory/domains/standard/read | Basiseigenschappen voor domeinen lezen |
| microsoft.directory/groups/standard/read | Standaardeigenschappen van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/appRoleAssignments/read | Toewijzingen van toepassingsrollen van groepen lezen |
| microsoft.directory/groups/memberOf/read | De eigenschap memberOf lezen voor beveiligingsgroepen en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/read | Leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/owners/read | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/settings/read | Instellingen van groepen lezen |
| microsoft.directory/groupSettings/standard/read | Basiseigenschappen voor groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor sjablonen voor groepsinstellingen lezen |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Basiseigenschappen voor OAuth 2.0-machtigingsverlening lezen |
| microsoft.directory/organization/standard/read | Basiseigenschappen voor een organisatie lezen |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Vertrouwde certificeringsinstanties voor verificatie zonder wachtwoord lezen |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
| microsoft.directory/roleAssignments/standard/read | Basiseigenschappen voor roltoewijzingen lezen |
| microsoft.directory/roleDefinitions/standard/read | Basiseigenschappen voor roldefinities lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen van service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Roltoewijzingen lezen die aan service-principals zijn toegewezen |
| microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
| microsoft.directory/servicePrincipals/memberOf/read | De groepslidmaatschappen voor service-principals lezen |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverleningen van service-principals lezen |
| microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals lezen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Objecten in eigendom van service-principals lezen |
| microsoft.directory/servicePrincipals/policies/read | Beleid van service-principals lezen |
| microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen voor abonnementen lezen |
| microsoft.directory/users/standard/read | Basiseigenschappen voor gebruikers lezen |
| microsoft.directory/users/appRoleAssignments/read | Toewijzingen van toepassingsrollen voor gebruikers lezen |
| microsoft.directory/users/deviceForResourceAccount/read | deviceForResourceAccount van gebruikers lezen |
| microsoft.directory/users/directReports/read | De direct ondergeschikten voor gebruikers lezen |
| microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
| microsoft.directory/users/manager/read | Manager van gebruikers lezen |
| microsoft.directory/users/memberOf/read | De groepslidmaatschappen van gebruikers lezen |
| microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverlening voor gebruikers lezen |
| microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
| microsoft.directory/users/ownedObjects/read | Objecten in eigendom van gebruikers lezen |
| microsoft.directory/users/photo/read | Foto van gebruikers lezen |
| microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
| microsoft.directory/users/scopedRoleMemberOf/read | Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid |
| microsoft.directory/users/sponsors/read | Sponsors van gebruikers lezen |
Adreslijstsynchronisatieaccounts
Dit is een bevoorrechte rol. Niet gebruiken. Deze rol wordt automatisch toegewezen aan de Microsoft Entra Verbinding maken-service en is niet bedoeld of ondersteund voor ander gebruik.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hybride verificatiebeleid beheren in Microsoft Entra-id |
| microsoft.directory/organization/dirSync/update | De synchronisatie-eigenschap van de organisatiedirectory bijwerken |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Alle aspecten van Wachtwoord-hashsynchronisatie (PHS) beheren in Microsoft Entra-id |
| microsoft.directory/policies/create | Beleid maken in Microsoft Entra-id |
| microsoft.directory/policies/delete | Beleid verwijderen in Microsoft Entra-id |
| microsoft.directory/policies/standard/read | Basiseigenschappen voor beleidsregels lezen |
| microsoft.directory/policies/owners/read | Eigenaren van beleidsregels lezen |
| microsoft.directory/policies/policyAppliedTo/read | De eigenschap policies.policyAppliedTo lezen |
| microsoft.directory/policies/basic/update | Basiseigenschappen voor beleidsregels bijwerken |
| microsoft.directory/policies/owners/update | Eigenaren van beleidsregels bijwerken |
| microsoft.directory/policies/tenantDefault/update | Standaardorganisatiebeleid bijwerken |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen van service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Roltoewijzingen lezen die aan service-principals zijn toegewezen |
| microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
| microsoft.directory/servicePrincipals/memberOf/read | De groepslidmaatschappen voor service-principals lezen |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverleningen van service-principals lezen |
| microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals lezen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Objecten in eigendom van service-principals lezen |
| microsoft.directory/servicePrincipals/policies/read | Beleid van service-principals lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepeigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/credentials/update | Referenties van service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tageigenschap voor service-principals bijwerken |
Adreslijstschrijvers
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen basisinformatie over gebruikers, groepen en service-principals lezen en bijwerken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Extensie-eigenschappen voor toepassingen bijwerken |
| microsoft.directory/contacts/create | Contacten maken |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/basic/update | Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/classification/update | De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Verbinding maken |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupSettings/create | Groepsinstellingen maken |
| microsoft.directory/groupSettings/delete | Groepsinstellingen verwijderen |
| microsoft.directory/groupSettings/basic/update | Basiseigenschappen voor groepsinstellingen bijwerken |
| microsoft.directory/oAuth2PermissionGrants/create | OAuth 2.0-machtigingsverlening maken |
| microsoft.directory/oAuth2PermissionGrants/basic/update | OAuth 2.0-machtigingsverlening bijwerken |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor toepassingsinrichting beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/sponsors/update | Sponsors van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
Beheerder van domeinnamen
Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook directorygegevens over gebruikers, groepen en toepassingen lezen, aangezien deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen configureren voor federatie, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Microsoft Entra-services met hun on-premises wachtwoorden via eenmalige aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Microsoft Entra Verbinding maken, zodat gebruikers ook gemachtigd zijn om Microsoft Entra-Verbinding maken te beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Dynamics 365-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft Dynamics 365 Online, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Servicebeheerdersrollen gebruiken om uw tenant te beheren voor meer informatie.
Notitie
In de Microsoft Graph API en Azure AD PowerShell heeft deze rol de naam Dynamics 365 Service Beheer istrator. In Azure Portal heet dit Dynamics 365 Beheer istrator.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Edge-beheerder
Gebruikers in deze rol kunnen de lijst met bedrijfssites maken en beheren die vereist zijn voor de Internet Explorer-modus op Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt bovendien toegang tot het beheren van ondersteuningstickets. Meer informatie
| Acties | Beschrijving |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Edge beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Exchange-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
In de Microsoft Graph API en Azure AD PowerShell heet deze rol Exchange Service Beheer istrator. In Azure Portal heet deze Exchange Beheer istrator. In het Exchange-beheercentrum heeft het de naam Exchange Online-beheerder.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.exchange/allEntities/basic/allTasks | Alle aspecten van Exchange Online beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van Exchange-ontvangers
Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van deze ontvangers in Exchange Online. Zie Ontvangers in Exchange Server voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Alle ontvangers maken en verwijderen en alle eigenschappen van ontvangers lezen en bijwerken in Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Alle taken met betrekking tot migratie van ontvangers beheren in Exchange Online |
Beheerder van externe id-gebruikersstromen
Gebruikers met deze rol kunnen gebruikersstromen (ook wel 'ingebouwde beleidsregels' genoemd) maken en beheren in de Azure-portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors en hun referenties beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Microsoft Entra-organisatie. Aan de andere kant bevat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework-beleidsregels (ook wel 'aangepaste beleidsregels' genoemd) vallen ook buiten het bereik van deze rol.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Gebruikersstroom in Azure Active Directory B2C lezen en configureren |
Beheerder van externe id-gebruikersstroomkenmerken
Gebruikers met deze rol voegen aangepaste kenmerken toe of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Microsoft Entra-organisatie. Als zodanig kunnen gebruikers met deze rol elementen wijzigen of nieuwe toevoegen aan het eindgebruikersschema en het gedrag van alle gebruikersstromen beïnvloeden, wat indirect leidt tot wijzigingen in het soort gegevens waar eindgebruikers om kunnen worden gevraagd en die uiteindelijk als claims naar toepassingen worden verzonden. Gebruikers met deze rol kunnen geen gebruikersstromen bewerken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Gebruikerskenmerk in Azure Active Directory B2C lezen en configureren |
Beheerder van externe id-providers
Deze beheerder beheert federatie tussen Microsoft Entra-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Microsoft Entra-organisatie inschakelen om verificaties van externe id-providers te vertrouwen. De resulterende invloed op eindgebruikerservaringen is afhankelijk van het type organisatie:
- Microsoft Entra-organisaties voor werknemers en partners: De toevoeging van een federatie (bijvoorbeeld met Gmail) heeft onmiddellijk invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als een id-provider voor B2B-gastgebruikers.
- Azure Active Directory B2C-organisaties: de toevoeging van een federatie (bijvoorbeeld met Facebook of met een andere Microsoft Entra-organisatie) heeft niet onmiddellijk invloed op de stromen van eindgebruikers totdat de id-provider is toegevoegd als een optie in een gebruikersstroom (ook wel een ingebouwd beleid genoemd). Zie Een Microsoft-account configureren als een id-provider voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol 'Beheerder van B2C-gebruikersstromen' vereist.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/domains/federation/update | Federatie-eigenschap van domeinen bijwerken |
| microsoft.directory/identityProviders/allProperties/allTasks | Id-providers in Azure Active Directory B2C lezen en configureren |
Fabric Beheer istrator
Gebruikers met deze rol hebben globale machtigingen in Microsoft Fabric en Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Understanding Fabric-beheerdersrollen voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.powerApps.powerBI/allEntities/allTasks | Alle aspecten van Fabric en Power BI beheren |
Globale beheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Microsoft Entra ID, evenals services die gebruikmaken van Microsoft Entra-identiteiten zoals de Microsoft 365 Defender-portal, de Microsoft Purview-nalevingsportal, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Globale Beheer istrators kunnen logboeken van Directory-activiteiten bekijken. Globale beheerders kunnen bovendien hun toegangsrechten uitbreiden, zodat ze alle Azure-abonnementen en -beheergroepen kunnen beheren. Hierdoor kunnen global Beheer istrators volledige toegang krijgen tot alle Azure-resources met behulp van de respectieve Microsoft Entra-tenant. De persoon die zich aanmeldt voor de Microsoft Entra-organisatie wordt een global Beheer istrator. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen. Een globale Beheer istrator kan hun eigen toewijzing van globale Beheer istrator niet verwijderen. Dit is om te voorkomen dat een organisatie nul Global Beheer istrators heeft.
Notitie
Als best practice raadt Microsoft u aan om de rol Globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices voor Microsoft Entra-rollen voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id beheren |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Beheereenheden (inclusief leden) maken en beheren |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id |
| microsoft.directory/applications/allProperties/allTasks | Toepassingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantiëren vanuit toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/read | Standaardeigenschappen van verificatiemethoden voor gebruikers lezen |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Alle aspecten van autorisatiebeleid beheren |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
| microsoft.directory/connectors/create | Toepassingsproxyconnectors maken |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectors lezen |
| microsoft.directory/connectorGroups/create | Connectorgroepen voor de toepassingsproxy maken |
| microsoft.directory/connectorGroups/delete | Connectorgroepen voor de toepassingsproxy verwijderen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen |
| microsoft.directory/connectorGroups/allProperties/update | Alle eigenschappen van de connectorgroepen van de toepassingsproxy bijwerken |
| microsoft.directory/contacts/allProperties/allTasks | Contactpersonen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/contracts/allProperties/allTasks | Partnercontracten maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Aangepaste verificatie-extensies maken en beheren |
| microsoft.directory/deletedItems/delete | Objecten die niet meer kunnen worden hersteld, definitief verwijderen |
| microsoft.directory/deletedItems/restore | Voorlopig verwijderde objecten terugzetten naar de oorspronkelijke status |
| microsoft.directory/devices/allProperties/allTasks | Apparaten maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Een licentie toewijzen aan groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Licentietoewijzingen opnieuw verwerken voor roltoewijsbare groepen |
| microsoft.directory/multiTenantOrganization/basic/update | Basiseigenschappen van een organisatie met meerdere tenants bijwerken |
| microsoft.directory/multiTenantOrganization/create | Een organisatie met meerdere tenants maken |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Deelnemen aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/standard/read | Basiseigenschappen van een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Basiseigenschappen bijwerken van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/create | Een tenant maken in een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/delete | Een tenant verwijderen die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/namedLocations/create | Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/delete | Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/basic/update | Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/deviceLocalCredentials/password/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen |
| microsoft.directory/deviceManagementPolicies/basic/update | Basiseigenschappen voor toepassingsbeleidsregels voor apparaatbeheer bijwerken |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken |
| microsoft.directory/directoryRoles/allProperties/allTasks | Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Microsoft Entra-rolsjablonen maken en verwijderen, en alle eigenschappen lezen en bijwerken |
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/domains/federationConfiguration/standard/read | Standaardeigenschappen van federatieconfiguratie voor domeinen lezen |
| microsoft.directory/domains/federationConfiguration/basic/update | Basisfederatieconfiguratie voor domeinen bijwerken |
| microsoft.directory/domains/federationConfiguration/create | Federatieconfiguratie voor domeinen maken |
| microsoft.directory/domains/federationConfiguration/delete | Federatieconfiguratie voor domeinen verwijderen |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer |
| microsoft.directory/groups/allProperties/allTasks | Groepen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupsAssignableToRoles/create | Groepen maken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/delete | Groepen verwijderen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/restore | Groepen herstellen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Groepen bijwerken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupSettings/allProperties/allTasks | Groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Sjablonen voor groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hybride verificatiebeleid beheren in Microsoft Entra-id |
| microsoft.directory/identityProtection/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Entra ID Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | loginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/organization/allProperties/allTasks | Alle eigenschappen voor een organisatie lezen en bijwerken |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Alle aspecten van Wachtwoord-hashsynchronisatie (PHS) beheren in Microsoft Entra-id |
| microsoft.directory/policies/allProperties/allTasks | Beleid maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Alle eigenschappen van beleid voor voorwaardelijke toegang beheren |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Instellingen voor directe verbinding met Microsoft Entra B2B bijwerken van het standaardtoegangsbeleid voor meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Toegangsbeleid voor meerdere tenants voor partners maken |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Toegangsbeleid voor meerdere tenants voor partners verwijderen |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Synchronisatiebeleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Instellingen | Sjabloon voor synchronisatiebeleid voor meerdere tenants opnieuw instellen op standaardinstellingen voor meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Beleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Instellingen | Sjabloon voor beleid voor meerdere tenants voor meerdere tenants opnieuw instellen op standaardinstellingen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Samenwerkingsinstellingen voor Microsoft Entra B2B bijwerken van toegangsbeleid voor meerdere tenants voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Microsoft Entra B2B-instellingen voor directe verbinding bijwerken van toegangsbeleid voor meerdere tenants voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Synchronisatiebeleid voor meerdere tenants maken voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Basisinstellingen van synchronisatiebeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management lezen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/serviceAction/activateService | Kan de actie 'Service activeren' uitvoeren voor een service |
| microsoft.directory/serviceAction/disableDirectoryFeature | Kan de serviceactie 'Directoryfunctie uitschakelen' uitvoeren |
| microsoft.directory/serviceAction/enableDirectoryFeature | Kan de serviceactie 'Directoryfunctie inschakelen' uitvoeren |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan de serviceactie getAvailableExtentionProperties uitvoeren |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Toestemming verlenen voor elke machtiging voor elke toepassing |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Abonnementen kopen en beheren en abonnementen verwijderen |
| microsoft.directory/users/allProperties/allTasks | Gebruikers maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/users/convertExternalToInternalMemberUser | Externe gebruiker converteren naar interne gebruiker |
| microsoft.directory/permissionGrantPolicies/create | Beleid voor het verlenen van machtigingen maken |
| microsoft.directory/permissionGrantPolicies/delete | Beleid voor het verlenen van machtigingen verwijderen |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/permissionGrantPolicies/basic/update | Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/servicePrincipalCreationPolicies/create | Beleidsregels voor het maken van service-principals maken |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Beleid voor het maken van service-principals verwijderen |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Basiseigenschappen van beleidsregels voor het maken van service-principals bijwerken |
| microsoft.directory/tenantManagement/tenants/create | Nieuwe tenants maken in Microsoft Entra-id |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een kaart met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Een kaart met verifieerbare referenties intrekken |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Een contract met verifieerbare referenties maken |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een contract met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Een contract met verifieerbare referenties bijwerken |
| microsoft.directory/verifiableCredentials/configuration/create | Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/delete | Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Alle aspecten van levenscycluswerkstromen en taken beheren in Microsoft Entra ID |
| microsoft.directory/pendingExternalUserProfiles/create | Externe gebruikersprofielen maken in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Alle aspecten van Azure Advanced Threat Protection beheren |
| microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van Azure Information Protection beheren |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Alle aspecten van Office 365-facturering beheren |
| microsoft.commerce.billing/purchases/standard/read | Lees aankoopservices in M365 Beheer Center. |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.edge/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Edge beheren |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-netwerktoegang beheren |
| microsoft.flow/allEntities/allTasks | Alle aspecten van Microsoft Power Automate beheren |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Verzendadressen voor Microsoft-hardwaregarantieclaims maken, lezen, bijwerken en verwijderen, inclusief verzendadressen die door anderen zijn gemaakt |
| microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle aspecten van Microsoft-hardwaregarantieclaims maken en beheren |
| microsoft.insights/allEntities/allProperties/allTasks | Alle aspecten van de Insights-app beheren |
| microsoft.intune/allEntities/allTasks | Alle aspecten van Microsoft Intune beheren |
| microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliancebeheer beheren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Alle aspecten van Desktop Analytics beheren |
| microsoft.office365.exchange/allEntities/basic/allTasks | Alle aspecten van Exchange Online beheren |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App |
| microsoft.office365.lockbox/allEntities/allTasks | Alle aspecten van Klanten-lockbox beheren |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Alle aspecten van de beveiligings- en nalevingscentrums beheren |
| microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in het Office 365-centrum voor beveiliging en naleving lezen en bijwerken |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.userCommunication/allEntities/allTasks | Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Alle aspecten van Yammer beheren |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-machtigingsbeheer beheren |
| microsoft.powerApps/allEntities/allTasks | Alle aspecten van Power Apps beheren |
| microsoft.powerApps.powerBI/allEntities/allTasks | Alle aspecten van Fabric en Power BI beheren |
| microsoft.teams/allEntities/allProperties/allTasks | Alle resources in Teams beheren |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Goals beheren |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Pulse beheren |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Alle aspecten van Microsoft Defender voor Eindpunt beheren |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Alle aspecten van Windows Update Service lezen en configureren |
Algemene lezer
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365-services lezen, maar kunnen geen beheeracties uitvoeren. Globale lezer is de alleen-lezen tegenhanger voor Globale beheerder. Wijs Globale lezer in plaats van Globale beheerder toe voor planning, audits of onderzoeken. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange-beheerder, om het gemakkelijker te maken werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal, Azure Portal en Apparaatbeheer-beheercentrum.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan geen toegang krijgen tot het gebied Services aanschaffen in de Microsoft 365-beheercentrum.
Notitie
De rol Globale lezer heeft de volgende beperkingen:
- OneDrive-beheercentrum - Het OneDrive-beheercentrum biedt geen ondersteuning voor de rol Globale lezer
- Microsoft 365-beheercentrum - Globale lezer kan geïntegreerde apps niet lezen. U vindt het tabblad Geïntegreerde apps niet onder Instellingen in het linkerdeelvenster van het Microsoft 365-beheercentrum.
- Microsoft 365 Defender-portal - Globale lezer kan geen SCC-auditlogboeken lezen, inhoud zoeken of secure score bekijken.
- Teams-beheercentrum - Globale lezer kan Teams-levenscyclus, Analyses en rapporten, Apparaatbeheer voor IP-telefoons en App-catalogus niet lezen. Zie Microsoft Teams-beheerdersrollen gebruiken om Teams te beheren voor meer informatie.
- Privileged Access Management biedt geen ondersteuning voor de rol globale lezer.
- Azure Information Protection - Global Reader wordt alleen ondersteund voor centrale rapportage en wanneer uw Microsoft Entra-organisatie zich niet op het geïntegreerde labelplatform bevindt.
- SharePoint - Globale lezer heeft momenteel geen toegang tot SharePoint met behulp van PowerShell.
- Power Platform-beheercentrum - Globale lezer wordt nog niet ondersteund in het Power Platform-beheercentrum.
- Microsoft Purview biedt geen ondersteuning voor de rol Globale lezer.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Afgeschaft) Alle eigenschappen van toegangsbeoordelingen lezen |
| microsoft.directory/accessReviews/definitions/allProperties/read | Lees alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Alle eigenschappen van beleid voor beheerderstoestemmingsaanvragen lezen in Microsoft Entra-id |
| microsoft.directory/administrativeUnits/allProperties/read | Alle eigenschappen van beheereenheden lezen, inclusief leden |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id |
| microsoft.directory/applications/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) voor alle typen toepassingen lezen |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/cloudAppSecurity/allProperties/read | Alle eigenschappen voor Defender for Cloud Apps lezen |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectors lezen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen |
| microsoft.directory/contacts/allProperties/read | Alle eigenschappen voor contactpersonen lezen |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Aangepaste verificatie-extensies lezen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord |
| microsoft.directory/devices/allProperties/read | Alle eigenschappen van apparaten lezen |
| microsoft.directory/directoryRoles/allProperties/read | Alle eigenschappen van directoryrollen lezen |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Alle eigenschappen van sjablonen voor directoryrollen lezen |
| microsoft.directory/domains/allProperties/read | Alle eigenschappen van domeinen lezen |
| microsoft.directory/domains/federationConfiguration/standard/read | Standaardeigenschappen van federatieconfiguratie voor domeinen lezen |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen |
| microsoft.directory/externalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/groups/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupSettings/allProperties/read | Alle eigenschappen van groepsinstellingen lezen |
| microsoft.directory/groupSettingTemplates/allProperties/read | Alle eigenschappen van sjablonen voor groepsinstellingen lezen |
| microsoft.directory/identityProtection/allProperties/read | Alle resources lezen in Microsoft Entra ID Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Alle eigenschappen voor de aanmeldingspagina van uw organisatie lezen |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Alle eigenschappen van OAuth 2.0-machtigingsverlening lezen |
| microsoft.directory/organization/allProperties/read | Alle eigenschappen voor een organisatie lezen |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken |
| microsoft.directory/policies/allProperties/read | Alle eigenschappen van beleid lezen |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Alle eigenschappen van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/standard/read | Basiseigenschappen van een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management lezen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/roleAssignments/allProperties/read | Alle eigenschappen van roltoewijzingen lezen |
| microsoft.directory/roleDefinitions/allProperties/read | Alle eigenschappen van roldefinities lezen |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Leden in beheereenheden bekijken |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan de serviceactie getAvailableExtentionProperties uitvoeren |
| microsoft.directory/servicePrincipals/allProperties/read | Alle eigenschappen (inclusief bevoorrechte eigenschappen) in service-principals lezen |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/subscribedSkus/allProperties/read | Alle eigenschappen van productabonnementen lezen |
| microsoft.directory/users/allProperties/read | Alle eigenschappen van gebruikers lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een kaart met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een contract met verifieerbare referenties lezen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Alle eigenschappen van levenscycluswerkstromen en taken lezen in Microsoft Entra-id |
| microsoft.cloudPC/allEntities/allProperties/read | Alle aspecten van Windows 365 lezen |
| microsoft.commerce.billing/allEntities/allProperties/read | Alle resources van Office 365-facturering lezen |
| microsoft.commerce.billing/purchases/standard/read | Lees aankoopservices in M365 Beheer Center. |
| microsoft.edge/allEntities/allProperties/read | Alle aspecten van Microsoft Edge lezen |
| microsoft.networkAccess/allEntities/allProperties/read | Alle aspecten van Microsoft Entra-netwerktoegang lezen |
| microsoft.hardware.support/shippingAddress/allProperties/read | Verzendadressen lezen voor Microsoft-hardwaregarantieclaims, inclusief bestaande verzendadressen die door anderen zijn gemaakt |
| microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-hardwaregarantieclaims lezen |
| microsoft.insights/allEntities/allProperties/read | Alle aspecten van Viva Insights lezen |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Alle aspecten van Microsoft 365-organisatieberichten lezen |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Alle eigenschappen in de beveiligings- en nalevingscentrums lezen |
| microsoft.office365.securityComplianceCenter/allEntities/read | Standaardeigenschappen in het Microsoft 365-centrum voor beveiliging en naleving lezen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.yammer/allEntities/allProperties/read | Alle aspecten van Yammer lezen |
| microsoft.permissionsManagement/allEntities/allProperties/read | Alle aspecten van Microsoft Entra-machtigingsbeheer lezen |
| microsoft.teams/allEntities/allProperties/read | Alle eigenschappen van Microsoft Teams lezen |
| microsoft.virtualVisits/allEntities/allProperties/read | Alle aspecten van virtuele bezoeken lezen |
| microsoft.viva.goals/allEntities/allProperties/read | Alle aspecten van Microsoft Viva Goals lezen |
| microsoft.viva.pulse/allEntities/allProperties/read | Alle aspecten van Microsoft Viva Pulse lezen |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Alle aspecten van Windows Update Service lezen |
Global Secure Access Beheer istrator
Wijs de rol globale beveiligde toegang Beheer istrator toe aan gebruikers die het volgende moeten doen:
- Alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang maken en beheren
- Toegang tot openbare en privé-eindpunten beheren
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan geen bedrijfstoepassingen, toepassingsregistraties, voorwaardelijke toegang of toepassingsproxy-instellingen beheren
| Acties | Beschrijving |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
| microsoft.directory/applications/applicationProxy/read | Alle eigenschappen van de toepassingsproxy lezen |
| microsoft.directory/applications/owners/read | Eigenaren van toepassingen lezen |
| microsoft.directory/applications/policies/read | Beleid van toepassingen lezen |
| microsoft.directory/applications/standard/read | Standaardeigenschappen van toepassingen lezen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van de connectorgroepen van de toepassingsproxy lezen |
| microsoft.directory/connectors/allProperties/read | Alle eigenschappen van toepassingsproxyconnectors lezen |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-netwerktoegang beheren |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Groepsbeheerder
Gebruikers met deze rol kunnen groepen en groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren. Het is belangrijk om te begrijpen dat de gebruiker die deze rol krijgt toegewezen, alle groepen in de organisatie kan beheren voor verschillende workloads, zoals Teams, SharePoint, Yammer en Outlook. De gebruiker kan ook de verschillende groepsinstellingen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, de Azure-portal en workloadspecifieke portals zoals het Teams- en SharePoint-beheercentrum.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Groepen die niet meer kunnen worden hersteld, definitief verwijderen |
| microsoft.directory/deletedItems.groups/restore | Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/restore | Groepen terugzetten vanuit een voorlopig verwijderde container |
| microsoft.directory/groups/basic/update | Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/classification/update | De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Verbinding maken |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Afzender van gastuitnodigingen
Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren wanneer de leden gebruikersinstelling kunnen uitnodigen , is ingesteld op Nee. Meer informatie over B2B-samenwerking op About Microsoft Entra B2B collaboration. Het bevat geen andere machtigingen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/standard/read | Basiseigenschappen voor gebruikers lezen |
| microsoft.directory/users/appRoleAssignments/read | Toewijzingen van toepassingsrollen voor gebruikers lezen |
| microsoft.directory/users/deviceForResourceAccount/read | deviceForResourceAccount van gebruikers lezen |
| microsoft.directory/users/directReports/read | De direct ondergeschikten voor gebruikers lezen |
| microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
| microsoft.directory/users/manager/read | Manager van gebruikers lezen |
| microsoft.directory/users/memberOf/read | De groepslidmaatschappen van gebruikers lezen |
| microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverlening voor gebruikers lezen |
| microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
| microsoft.directory/users/ownedObjects/read | Objecten in eigendom van gebruikers lezen |
| microsoft.directory/users/photo/read | Foto van gebruikers lezen |
| microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
| microsoft.directory/users/scopedRoleMemberOf/read | Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid |
| microsoft.directory/users/sponsors/read | Sponsors van gebruikers lezen |
Helpdeskbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services, en de servicestatus bewaken. Als een vernieuwingstoken ongeldig wordt gemaakt, wordt de gebruiker gedwongen zich opnieuw aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een helpdeskbeheerder wachtwoorden opnieuw kan instellen en vernieuwingstokens ongeldig kan maken.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra ID en elders niet verleend aan helpdesk-Beheer istrators. Via dit pad kan een helpdeskbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheer istrators in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Het delegeren van beheerdersmachtigingen aan subsets van gebruikers en het toepassen van beleidsregels op een subset van gebruikers is mogelijk met beheereenheden.
Deze rol heette voorheen Password Beheer istrator in Azure Portal. De naam is gewijzigd in helpdesk-Beheer istrator, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Azure AD PowerShell.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Hybrid Identity-beheerder
Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen configuratie-instellingen voor inrichting maken, beheren en implementeren van Active Directory naar Microsoft Entra-id met behulp van Cloud Provisioning en Microsoft Entra-Verbinding maken, passthrough-verificatie (PTA), wachtwoord-hashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. Gebruikers kunnen ook problemen oplossen en logboeken bewaken met behulp van deze rol.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/create | Alle typen toepassingen maken |
| microsoft.directory/applications/delete | Alle typen toepassingen verwijderen |
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/applications/synchronization/standard/read | De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld |
| microsoft.directory/applicationTemplates/instantiate | Galerietoepassingen instantiëren vanuit toepassingssjablonen |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Alle eigenschappen van de Microsoft Entra-cloudinrichtingsservice lezen en configureren. |
| microsoft.directory/deletedItems.applications/delete | Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen |
| microsoft.directory/deletedItems.applications/restore | Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status |
| microsoft.directory/domains/allProperties/read | Alle eigenschappen van domeinen lezen |
| microsoft.directory/domains/federation/update | Federatie-eigenschap van domeinen bijwerken |
| microsoft.directory/domains/federationConfiguration/standard/read | Standaardeigenschappen van federatieconfiguratie voor domeinen lezen |
| microsoft.directory/domains/federationConfiguration/basic/update | Basisfederatieconfiguratie voor domeinen bijwerken |
| microsoft.directory/domains/federationConfiguration/create | Federatieconfiguratie voor domeinen maken |
| microsoft.directory/domains/federationConfiguration/delete | Federatieconfiguratie voor domeinen verwijderen |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hybride verificatiebeleid beheren in Microsoft Entra-id |
| microsoft.directory/organization/dirSync/update | De synchronisatie-eigenschap van de organisatiedirectory bijwerken |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Alle aspecten van Wachtwoord-hashsynchronisatie (PHS) beheren in Microsoft Entra-id |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/servicePrincipals/create | Service-principals maken |
| microsoft.directory/servicePrincipals/delete | Service-principals verwijderen |
| microsoft.directory/servicePrincipals/disable | Service-principals uitschakelen |
| microsoft.directory/servicePrincipals/enable | Service-principals inschakelen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Geheimen en referenties voor toepassingsinrichting beheren |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/audience/update | Doelgroepeigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/authentication/update | Verificatie-eigenschappen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/basic/update | Basiseigenschappen voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/notes/update | Notities van service-principals bijwerken |
| microsoft.directory/servicePrincipals/owners/update | Eigenaren van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/servicePrincipals/tag/update | De tageigenschap voor service-principals bijwerken |
| microsoft.directory/servicePrincipals/synchronization/standard/read | De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.directory/users/authorizationInfo/update | De eigenschap id's van gebruikers met meerdere waarden voor certificaatgebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Identity Governance-beheerder
Gebruikers met deze rol kunnen Microsoft Entra ID-governance configuratie beheren, waaronder toegangspakketten, toegangsbeoordelingen, catalogi en beleid, zodat de toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Microsoft Entra-id |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. |
| microsoft.directory/accessReviews/definitions.groups/create | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken. |
| microsoft.directory/accessReviews/definitions.groups/delete | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Microsoft Entra ID |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
Insights-beheerder
Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft Viva Insights-app. Deze rol heeft de mogelijkheid om directorygegevens te lezen, de servicestatus te bewaken, ondersteuningstickets in te dienen en toegang tot de aspecten van Insights-beheerdersinstellingen te krijgen.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.insights/allEntities/allProperties/allTasks | Alle aspecten van de Insights-app beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Insights-analist
Wijs de rol Insights-analist toe aan gebruikers die het volgende moeten doen:
- Gegevens analyseren in de Microsoft Viva Insights-app, maar niet configuratie-instellingen beheren
- Query's maken, beheren en uitvoeren
- Basisinstellingen en -rapporten bekijken in het Microsoft 365-beheercentrum
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
| Acties | Beschrijving |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Query's uitvoeren en beheren in Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Insights-bedrijfsleider
Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft Viva Insights-app. Dit omvat volledige toegang tot alle dashboards en de functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot configuratie-instellingen van het product, wat de verantwoordelijkheid is van de Insights-beheerder.
| Acties | Beschrijving |
|---|---|
| microsoft.insights/reports/allProperties/read | Rapporten en het dashboard in de Insights-app bekijken |
| microsoft.insights/programs/allProperties/update | Programma's in de Insights-app implementeren en beheren |
Intune-beheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben algemene machtigingen in Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren. Zie Op rollen gebaseerd beheerbeheer (RBAC) met Microsoft Intune voor meer informatie.
Met deze rol kunnen alle beveiligingsgroepen worden gemaakt en beheerd. Een Intune-beheerder heeft echter geen beheerdersrechten voor Office-groepen. Dit betekent dat de beheerder eigenaren of lidmaatschappen van alle Office-groepen in de organisatie niet kan bijwerken. De beheerder kan echter wel de Office-groep beheren die hij/zij maakt als onderdeel van zijn/haar eindgebruikersbevoegdheden. Dus elke Office-groep (niet beveiligingsgroep) die hij/zij maakt, moet worden meegeteld voor zijn/haar quotum van 250.
Notitie
In de Microsoft Graph API en Azure AD PowerShell heeft deze rol de naam Intune-service Beheer istrator. In De Azure-portal heeft deze de naam Intune Beheer istrator.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/contacts/create | Contacten maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.devices/delete | Apparaten permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.devices/restore | Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat |
| microsoft.directory/devices/create | Apparaten maken (inschrijven bij Microsoft Entra ID) |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Microsoft Entra-id |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Microsoft Entra-id |
| microsoft.directory/devices/enable | Apparaten inschakelen in Microsoft Entra-id |
| microsoft.directory/devices/basic/update | Basiseigenschappen voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet1/update | De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet2/update | De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet3/update | De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken |
| microsoft.directory/devices/registeredOwners/update | Geregistreerde eigenaren van apparaten bijwerken |
| microsoft.directory/devices/registeredUsers/update | Geregistreerde gebruikers van apparaten bijwerken |
| microsoft.directory/deviceLocalCredentials/password/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/classification/update | De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/visibility/update | De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.intune/allEntities/allTasks | Alle aspecten van Microsoft Intune beheren |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Alle aspecten van Microsoft 365-organisatieberichten lezen |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Kaizala-beheerder
Gebruikers met deze rol hebben algemene machtigingen om instellingen in Microsoft Kaizala te beheren, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten over het accepteren en gebruiken van Kaizala door organisatieleden en zakelijke rapporten die zijn gegenereerd met behulp van de Kaizala-acties.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Kennisbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in het Microsoft 365-beheercentrum. Ze hebben een algemeen begrip van de suite met producten, licentiegegevens en hebben verantwoordelijkheid voor het beheren van de toegang. De kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentrums maken, de servicestatus bewaken en serviceaanvragen maken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/createAsOwner | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Alle eigenschappen van vertrouwelijkheidslabels in de beveiligings- en nalevingscentrums lezen |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Knowledge Base-beheer
Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Ze zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van kennis. Deze gebruiker heeft volledige rechten voor onderwerpbeheeracties om een onderwerp te bevestigen, wijzigingen goed te keuren of een onderwerp te verwijderen. Gebruikers met deze rol kunnen ook taxonomieën beheren als onderdeel van het beheerhulpprogramma voor het termenarchief en inhoudscentrums maken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/createAsOwner | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Licentiebeheerder
Gebruikers in deze rol kunnen licentietoewijzingen lezen, toevoegen, verwijderen en bijwerken voor gebruikers, groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of beheren, of gebruikers te maken of beheren buiten de gebruikslocatie. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/usageLocation/update | Gebruikslocatie van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van levenscycluswerkstromen
Wijs de rol 'Beheerder van levenscycluswerkstromen' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van werkstromen en taken maken en beheren die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra-id
- De uitvoering van geplande werkstromen controleren
- Werkstroomuitvoeringen op aanvraag starten
- Logboeken van werkstroomuitvoeringen inspecteren
| Acties | Beschrijving |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Alle aspecten van levenscycluswerkstromen en taken beheren in Microsoft Entra ID |
| microsoft.directory/organization/strongAuthentication/read | Sterke verificatie-eigenschappen van een organisatie lezen |
Berichtencentrum-privacylezer
Gebruikers met deze rol kunnen alle meldingen in het Berichtencentrum bewaken, inclusief berichten over gegevensprivacy. Berichtencentrum-privacylezers ontvangen e-mailmeldingen, inclusief de berichten die betrekking hebben op gegevensprivacy, en kunnen zich afmelden via de voorkeuren van het Berichtencentrum. Alleen de globale beheerder en de Berichtencentrum-privacylezer kunnen berichten over gegevensprivacy lezen. Ook bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen te bekijken. Deze rol is niet gemachtigd om serviceaanvragen te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.messageCenter/securityMessages/read | Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Berichtencentrum-lezer
Gebruikers met deze rol kunnen meldingen en adviesstatusupdates bewaken in het Berichtencentrum voor hun organisatie voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum-lezers ontvangen wekelijkse e-mailsamenvattingen van posts en updates en kunnen Berichtencentrum-posts delen in Microsoft 365. In Microsoft Entra-id hebben gebruikers die aan deze rol zijn toegewezen alleen-lezentoegang voor Microsoft Entra-services, zoals gebruikers en groepen. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Microsoft Hardware Garantie Beheer istrator
Wijs de microsoft hardwaregarantie-Beheer rol toe aan gebruikers die de volgende taken moeten uitvoeren:
- Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
- Geopende of gesloten garantieclaims zoeken en lezen
- Garantieclaims zoeken en lezen op serienummer
- Verzendadressen maken, lezen, bijwerken en verwijderen
- Verzendstatus voor openstaande garantieclaims lezen
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
- Berichtencentrumaankondigingen lezen in de Microsoft 365-beheercentrum
Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie Selfservice voor uw Surface-garantieaanvragen &voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Verzendadressen voor Microsoft-hardwaregarantieclaims maken, lezen, bijwerken en verwijderen, inclusief verzendadressen die door anderen zijn gemaakt |
| microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle aspecten van Microsoft-hardwaregarantieclaims maken en beheren |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Microsoft Hardware Garantie Specialist
Wijs de rol Microsoft Hardware Warranty Specialist toe aan gebruikers die de volgende taken moeten uitvoeren:
- Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
- Garantieclaims lezen die ze hebben gemaakt
- Bestaande verzendadressen lezen en bijwerken
- Verzendstatus lezen voor openstaande garantieclaims die ze hebben gemaakt
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie Selfservice voor uw Surface-garantieaanvragen &voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Verzendadressen lezen voor Microsoft-hardwaregarantieclaims, inclusief bestaande verzendadressen die door anderen zijn gemaakt |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Microsoft-hardwaregarantieclaims maken waarbij de maker de eigenaar is |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-hardwaregarantieclaims lezen |
Moderne Commerce-gebruiker
Niet gebruiken. Deze rol wordt automatisch vanuit Commerce toegewezen en is niet bedoeld of wordt niet ondersteund voor ander gebruik. Zie de onderstaande details.
De rol 'Moderne Commerce-gebruiker' geeft bepaalde gebruikers toestemming om toegang te krijgen tot het Microsoft 365-beheercentrum en de linkernavigatiebalk te bekijken voor Start, Facturering en Ondersteuning. De beschikbare inhoud in deze omgevingen wordt beheerd door de commerce-specifieke rollen die aan gebruikers zijn toegewezen voor het beheren van producten die ze voor zichzelf of voor de organisatie hebben gekocht. Dit kunnen taken zijn zoals rekeningen betalen, of toegang tot factureringsaccounts en factureringsprofielen.
Gebruikers met de rol 'Moderne Commerce-gebruiker' hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben niet de rol 'Globale beheerder' of 'Factureringsbeheerder' die wordt gebruikt voor toegang tot het beheercentrum.
Wanneer wordt de rol 'Moderne Commerce-gebruiker' toegewezen?
- Selfservice-aankoop in het Microsoft 365-beheercentrum – Selfservice-aankoop biedt gebruikers de kans om nieuwe producten uit te proberen door deze zelf te kopen of zich er zelf voor te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfservice-aankoop doen, krijgen een rol in het commerce-systeem en de rol 'Moderne Commerce-gebruiker' toegewezen, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheer s kunnen selfserviceaankopen blokkeren (voor Fabric, Power BI, Power Apps, Power Automate) via PowerShell. Zie Veelgestelde vragen over selfservice-aankopen voor meer informatie.
- Aankopen bij de commerciële marketplace van Microsoft – Net als bij selfservice-aankoop geldt dat wanneer een gebruiker een product of service koopt bij Microsoft AppSource of Azure Marketplace, de rol 'Moderne Commerce-gebruiker' wordt toegewezen als de gebruiker niet de rol 'Globale beheerder' of 'Factureringsbeheerder' heeft. In sommige gevallen worden gebruikers geblokkeerd en kunnen ze deze aankopen niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
- Voorstellen van Microsoft – Een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert, geen globale Beheer istrator- of factureringsrol Beheer heeft in Microsoft Entra ID, krijgen ze zowel een handelsspecifieke rol toegewezen om het voorstel en de rol Modern Commerce-gebruiker te voltooien voor toegang tot het beheercentrum. Wanneer ze toegang tot het beheercentrum krijgen, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
- Commerce-specifieke rollen – Aan sommige gebruikers worden commerce-specifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol 'Moderne Commerce-gebruiker' om toegang tot het beheercentrum te kunnen krijgen.
Als de toewijzing van de rol 'Moderne Commerce-gebruiker' aan een gebruiker wordt opgeheven, verliest hij/zij de toegang tot het Microsoft 365-beheercentrum. Als de gebruiker producten voor zichzelf of voor uw organisatie beheerde, kan hij/zij die niet meer beheren. Dit kan het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen omvatten.
| Acties | Beschrijving |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Alle aspecten van het Volume Licensing Service Center beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/basic/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Netwerkbeheerder
Gebruikers met deze rol kunnen aanbevelingen voor de netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerktelemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van zorgvuldige netwerkperimeterarchitectuur van zakelijke klanten, wat over het algemeen gebruikerslocatiespecifiek is. Met deze rol kunt u gedetecteerde gebruikerslocaties bewerken en netwerkparameters voor die locaties configureren om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Alle aspecten van netwerklocaties beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van Office-apps
Gebruikers met deze rol kunnen cloudinstellingen van Microsoft 365-apps beheren. Dit omvat het beheer van cloudbeleidsregels, selfservice-downloadbeheer en de mogelijkheid om aan Office-apps gerelateerde rapporten te bekijken. Deze rol biedt ook de mogelijkheid om ondersteuningstickets te beheren en de servicestatus in het hoofdbeheercentrum te bewaken. Gebruikers die zijn toegewezen aan deze rol, kunnen ook de communicatie beheren van nieuwe functies in Office-apps.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.userCommunication/allEntities/allTasks | Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Schrijver van organisatieberichten
Wijs de rol Schrijver van organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:
- Organisatieberichten schrijven, publiceren en verwijderen met Microsoft 365-beheercentrum of Microsoft Intune
- Opties voor bezorging van organisatieberichten beheren met Microsoft 365-beheercentrum of Microsoft Intune
- Resultaten van de bezorging van organisatieberichten lezen met Microsoft 365-beheercentrum of Microsoft Intune
- Gebruiksrapporten en de meeste instellingen in de Microsoft 365-beheercentrum weergeven, maar kunnen geen wijzigingen aanbrengen
| Acties | Beschrijving |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren |
| microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Laag1-ondersteuning voor partner
Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen alleen voor niet-beheerders wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/contacts/create | Contacten maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status |
| microsoft.directory/deletedItems.users/restore | Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/restore | Groepen terugzetten vanuit een voorlopig verwijderde container |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Laag2-ondersteuning voor partner
Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen voor alle niet-beheerders en beheerders (inclusief globale beheerders) wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/appRoles/update | De eigenschap appRoles bijwerken voor alle typen toepassingen |
| microsoft.directory/applications/audience/update | De doelgroepeigenschap voor toepassingen bijwerken |
| microsoft.directory/applications/authentication/update | De verificatie voor alle typen toepassingen bijwerken |
| microsoft.directory/applications/basic/update | Basiseigenschappen voor toepassingen bijwerken |
| microsoft.directory/applications/credentials/update | Toepassingsreferenties bijwerken |
| microsoft.directory/applications/notes/update | Notities van toepassingen bijwerken |
| microsoft.directory/applications/owners/update | De eigenaren van toepassingen bijwerken |
| microsoft.directory/applications/permissions/update | De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen |
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/applications/tag/update | Tags van toepassingen bijwerken |
| microsoft.directory/contacts/create | Contacten maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status |
| microsoft.directory/deletedItems.users/restore | Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status |
| microsoft.directory/domains/allProperties/allTasks | Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/restore | Groepen terugzetten vanuit een voorlopig verwijderde container |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/organization/basic/update | Basiseigenschappen voor organisatie bijwerken |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen voor abonnementen lezen |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Wachtwoordbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de servicestatus te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Machtigingenbeheer Beheer istrator
Wijs de rol Machtigingenbeheer Beheer istrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van Microsoft Entra-machtigingsbeheer beheren wanneer de service aanwezig is
Meer informatie over rollen en beleidsregels voor machtigingenbeheer vindt u in Informatie over rollen/beleid weergeven.
| Acties | Beschrijving |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-machtigingsbeheer beheren |
Power Platform-beheerder
Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid voor preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
| microsoft.flow/allEntities/allTasks | Alle aspecten van Microsoft Power Automate beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.powerApps/allEntities/allTasks | Alle aspecten van Power Apps beheren |
Printerbeheerder
Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing, zoals de Universal Print Connector-instellingen, beheren. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken |
Printertechnicus
Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universal Print-oplossing. Ze kunnen ook alle connectorgegevens lezen. Belangrijke taken die een printertechnicus niet kan uitvoeren, zijn het instellen van gebruikersmachtigingen voor printers en het delen van printers.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Alle eigenschappen van connectors in Microsoft Print lezen |
| microsoft.azure.print/printers/allProperties/read | Alle eigenschappen van printers in Microsoft Print lezen |
| microsoft.azure.print/printers/register | Printers in Microsoft Print registreren |
| microsoft.azure.print/printers/unregister | De registratie van printers in Microsoft Print ongedaan maken |
| microsoft.azure.print/printers/basic/update | Basiseigenschappen van printers in Microsoft Print bijwerken |
Bevoorrechte verificatiebeheerder
Dit is een bevoorrechte rol. Wijs de rol Privileged Authentication Beheer istrator toe aan gebruikers die het volgende moeten doen:
- Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor elke gebruiker, inclusief globale Beheer istrators.
- Verwijder of herstel alle gebruikers, met inbegrip van globale Beheer istrators. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
- Dwing gebruikers af om zich opnieuw te registreren op basis van bestaande niet-wachtwoordreferenties (zoals MFA of FIDO) en om MFA op het apparaat in te trekken, waarbij wordt gevraagd om MFA bij de volgende aanmelding van alle gebruikers.
- Gevoelige eigenschappen voor alle gebruikers bijwerken. Zie Wie gevoelige acties kan uitvoeren voor meer informatie.
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan MFA per gebruiker niet beheren in de verouderde MFA-beheerportal. Dezelfde functies kunnen worden uitgevoerd met behulp van de cmdlet Set-MsolUser in de Azure AD PowerShell-module.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
| Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
|---|---|---|---|---|---|---|---|
| Verificatie-Beheer istrator | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
| Bevoegde verificatie Beheer istrator | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
| Beheerder van verificatiebeleid | Nee | Nee | Ja | Ja | Ja | Nee | Nee |
| Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra ID en elders die niet zijn verleend aan verificatie-Beheer istrators. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheer istrators in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal en Microsoft Purview-nalevingsportal- en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/users/authenticationMethods/delete | Verificatiemethoden voor gebruikers verwijderen |
| microsoft.directory/users/authenticationMethods/standard/read | Standaardeigenschappen van verificatiemethoden voor gebruikers lezen |
| microsoft.directory/users/authenticationMethods/basic/update | Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken |
| microsoft.directory/deletedItems.users/restore | Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/authorizationInfo/update | De eigenschap id's van gebruikers met meerdere waarden voor certificaatgebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder voor bevoorrechte rollen
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Microsoft Entra ID en binnen Microsoft Entra Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Microsoft Entra-rollen. Daarnaast kunnen met deze rol alle aspecten van Privileged Identity Management en beheereenheden worden beheerd.
Belangrijk
Deze rol verleent de mogelijkheid om toewijzingen te beheren voor alle Microsoft Entra-rollen, inclusief de rol Global Beheer istrator. Deze rol bevat geen andere bevoegde mogelijkheden in Microsoft Entra-id, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen echter aanvullende bevoegdheden aan zichzelf of anderen verlenen door aanvullende rollen toe te wijzen.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Lees alle eigenschappen van toegangsbeoordelingen van toepassingsroltoewijzingen in Microsoft Entra-id |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Toegangsbeoordelingen voor Microsoft Entra-roltoewijzingen beheren |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Toegangsbeoordelingen maken voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Toegangsbeoordelingen verwijderen voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Beheereenheden (inclusief leden) maken en beheren |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Alle aspecten van autorisatiebeleid beheren |
| microsoft.directory/directoryRoles/allProperties/allTasks | Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/groupsAssignableToRoles/create | Groepen maken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/delete | Groepen verwijderen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/restore | Groepen herstellen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Groepen bijwerken waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Een licentie toewijzen aan groepen die aan rollen kunnen worden toegewezen |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Licentietoewijzingen opnieuw verwerken voor roltoewijsbare groepen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Privileged Identity Management lezen en bijwerken |
| microsoft.directory/roleAssignments/allProperties/allTasks | Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/permissions/update | Machtigingen van service-principals bijwerken |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Toestemming verlenen voor elke machtiging voor elke toepassing |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.directory/permissionGrantPolicies/create | Beleid voor het verlenen van machtigingen maken |
| microsoft.directory/permissionGrantPolicies/delete | Beleid voor het verlenen van machtigingen verwijderen |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Alle eigenschappen van machtigingsbeleid lezen |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Alle eigenschappen van machtigingsbeleid bijwerken |
Rapportlezer
Gebruikers met deze rol kunnen gebruiksgegevens en het rapportendashboard bekijken in Microsoft 365-beheercentrum en het contextpakket voor acceptatie in Fabric en Power BI. Daarnaast biedt de rol toegang tot alle aanmeldingslogboeken, auditlogboeken en activiteitenrapporten in Microsoft Entra-id en gegevens die worden geretourneerd door de Microsoft Graph-rapportage-API. Een gebruiker aan wie de rol Rapportenlezer is toegewezen, heeft alleen toegang tot relevante metrische gebruiks- en ingebruiknamegegevens. Ze hebben geen beheerdersmachtigingen voor het configureren van instellingen of toegang tot productspecifieke beheercentrums zoals Exchange. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Zoekbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search-beheerfuncties in het Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de servicestatus bewaken en serviceaanvragen maken.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Zoekredacteur
Gebruikers met deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in het Microsoft 365-beheercentrum, inclusief bladwijzers, vragen en antwoorden en locaties.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beveiligingsbeheer
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsfuncties in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
| Over | Wel |
|---|---|
| Microsoft 365 Defender-portal | Beveiligingsgerelateerde beleidsregels bewaken in Microsoft 365-services Beveiligingsbedreigingen en -waarschuwingen beheren Rapporten weergeven |
| Identiteitsbeveiliging | Alle machtigingen van de rol Beveiligingslezer Alle Identity Protection-bewerkingen uitvoeren, met uitzondering van het opnieuw instellen van wachtwoorden |
| Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer Kan microsoft Entra-roltoewijzingen of -instellingen niet beheren |
| Microsoft Purview-nalevingsportal | Beveiligingsbeleid beheren Beveiligingsbedreigingen bekijken, onderzoeken en erop reageren Rapporten weergeven |
| Azure Advanced Threat Protection | Verdachte beveiligingsactiviteiten bewaken en erop reageren |
| Microsoft Defender voor Eindpunt | Rollen toewijzen Machinegroepen beheren Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren Waarschuwingen bekijken, onderzoeken en erop reageren Machines/apparaatinventaris bekijken |
| Intune | Gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens bekijken Kan geen wijzigingen aan Intune aanbrengen |
| Microsoft Defender voor Cloud-apps | Beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren |
| Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
| Slimme vergrendeling | Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden. |
| Wachtwoordbeveiliging | Configureer een aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging. |
| Synchronisatie tussen tenants | Configureer toegangsinstellingen voor meerdere tenants voor gebruikers in een andere tenant. Beveiligings-Beheer istrators kunnen gebruikers niet rechtstreeks maken en verwijderen, maar kunnen indirect gesynchroniseerde gebruikers maken en verwijderen uit een andere tenant wanneer beide tenants zijn geconfigureerd voor synchronisatie tussen tenants, een bevoegde machtiging. |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/applications/policies/update | Beleid van toepassingen bijwerken |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Instellingen voor directe verbinding met Microsoft Entra B2B bijwerken van het standaardtoegangsbeleid voor meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Toegangsbeleid voor meerdere tenants voor partners maken |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Toegangsbeleid voor meerdere tenants voor partners verwijderen |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Synchronisatiebeleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Instellingen | Sjabloon voor synchronisatiebeleid voor meerdere tenants opnieuw instellen op standaardinstellingen voor meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Beleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Instellingen | Sjabloon voor beleid voor meerdere tenants voor meerdere tenants opnieuw instellen op standaardinstellingen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Samenwerkingsinstellingen voor Microsoft Entra B2B bijwerken van toegangsbeleid voor meerdere tenants voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Microsoft Entra B2B-instellingen voor directe verbinding bijwerken van toegangsbeleid voor meerdere tenants voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Synchronisatiebeleid voor meerdere tenants maken voor partners |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Basisinstellingen van synchronisatiebeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord |
| microsoft.directory/domains/federation/update | Federatie-eigenschap van domeinen bijwerken |
| microsoft.directory/domains/federationConfiguration/standard/read | Standaardeigenschappen van federatieconfiguratie voor domeinen lezen |
| microsoft.directory/domains/federationConfiguration/basic/update | Basisfederatieconfiguratie voor domeinen bijwerken |
| microsoft.directory/domains/federationConfiguration/create | Federatieconfiguratie voor domeinen maken |
| microsoft.directory/domains/federationConfiguration/delete | Federatieconfiguratie voor domeinen verwijderen |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen |
| microsoft.directory/identityProtection/allProperties/read | Alle resources lezen in Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Alle resources bijwerken in Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Basiseigenschappen van een organisatie met meerdere tenants bijwerken |
| microsoft.directory/multiTenantOrganization/create | Een organisatie met meerdere tenants maken |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Deelnemen aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/standard/read | Basiseigenschappen van een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Basiseigenschappen bijwerken van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/create | Een tenant maken in een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/delete | Een tenant verwijderen die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/namedLocations/create | Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/delete | Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/basic/update | Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/policies/create | Beleid maken in Microsoft Entra-id |
| microsoft.directory/policies/delete | Beleid verwijderen in Microsoft Entra-id |
| microsoft.directory/policies/basic/update | Basiseigenschappen voor beleidsregels bijwerken |
| microsoft.directory/policies/owners/update | Eigenaren van beleidsregels bijwerken |
| microsoft.directory/policies/tenantDefault/update | Standaardorganisatiebeleid bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/owners/update | Eigenaren bijwerken voor beleid voor voorwaardelijke toegang |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management lezen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/update | Beleid van service-principals bijwerken |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-netwerktoegang beheren |
| microsoft.office365.protectionCenter/allEntities/standard/read | Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen |
| microsoft.office365.protectionCenter/allEntities/basic/update | Basiseigenschappen van alle resources in de beveiligings- en nalevingscentrums bijwerken |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Aanvalspayloads maken en beheren in Aanvalssimulatie |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beveiligingsoperator
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen waarschuwingen beheren en globale alleen-lezentoegang hebben voor beveiligingsfuncties, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
| Over | Wel |
|---|---|
| Microsoft 365 Defender-portal | Alle machtigingen van de rol Beveiligingslezer Waarschuwingen over beveiligingsbedreigingen bekijken, onderzoeken en erop reageren Beveiligingsinstellingen beheren in de Microsoft 365 Defender-portal |
| Identiteitsbeveiliging | Alle machtigingen van de rol Beveiligingslezer Voer alle Identiteitsbeveiligingsbewerkingen uit, met uitzondering van het configureren of wijzigen van beleid op basis van risico's, het opnieuw instellen van wachtwoorden en het configureren van waarschuwingsmails. |
| Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer |
| Microsoft Purview-nalevingsportal | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren |
| Microsoft Defender voor Eindpunt | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen. |
| Intune | Alle machtigingen van de rol Beveiligingslezer |
| Microsoft Defender voor Cloud-apps | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren |
| Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
| microsoft.directory/identityProtection/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Entra ID Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management lezen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Alle aspecten van Azure Advanced Threat Protection beheren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.intune/allEntities/read | Alle resources in Microsoft Intune lezen |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in het Office 365-centrum voor beveiliging en naleving lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Alle aspecten van Microsoft Defender voor Eindpunt beheren |
Beveiligingslezer
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben globale alleen-lezentoegang voor beveiligingsgerelateerde functies, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management, evenals de mogelijkheid om aanmeldingsrapporten en auditlogboeken van Microsoft Entra te lezen, en in Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
| Over | Wel |
|---|---|
| Microsoft 365 Defender-portal | Beveiligingsgerelateerde beleidsregels bekijken in Microsoft 365-services Beveiligingsbedreigingen en -waarschuwingen bekijken Rapporten weergeven |
| Identiteitsbeveiliging | Alle Identity Protection-rapporten en overzicht weergeven |
| Privileged Identity Management | Heeft alleen-lezentoegang tot alle informatie die wordt weergegeven in Microsoft Entra Privileged Identity Management: beleid en rapporten voor Roltoewijzingen en beveiligingsbeoordelingen van Microsoft Entra. Kan zich niet registreren voor Microsoft Entra Privileged Identity Management of wijzigingen aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand met deze rol aanvullende rollen activeren (bijvoorbeeld 'Globale beheerder' of 'Beheerder voor bevoorrechte rollen'), als de gebruiker hiervoor in aanmerking komt. |
| Microsoft Purview-nalevingsportal | Beveiligingsbeleid bekijken Beveiligingsbedreigingen bekijken en onderzoeken Rapporten weergeven |
| Microsoft Defender voor Eindpunt | Waarschuwingen weergeven en onderzoeken Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen. |
| Intune | Bekijkt gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens. Kan geen wijzigingen aanbrengen in Intune. |
| Microsoft Defender voor Cloud-apps | Heeft leesmachtigingen. |
| Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Lees alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id |
| microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/bitlockerKeys/key/read | BitLocker-metagegevens en -sleutel op apparaten lezen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord |
| microsoft.directory/domains/federationConfiguration/standard/read | Standaardeigenschappen van federatieconfiguratie voor domeinen lezen |
| microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen |
| microsoft.directory/identityProtection/allProperties/read | Alle resources lezen in Microsoft Entra ID Protection |
| microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/policies/standard/read | Basiseigenschappen voor beleidsregels lezen |
| microsoft.directory/policies/owners/read | Eigenaren van beleidsregels lezen |
| microsoft.directory/policies/policyAppliedTo/read | De eigenschap policies.policyAppliedTo lezen |
| microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
| microsoft.directory/conditionalAccessPolicies/owners/read | De eigenaren van beleid voor voorwaardelijke toegang lezen |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/standard/read | Basiseigenschappen van een organisatie met meerdere tenants lezen |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Alle resources in Privileged Identity Management lezen |
| microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
| microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.networkAccess/allEntities/allProperties/read | Alle aspecten van Microsoft Entra-netwerktoegang lezen |
| microsoft.office365.protectionCenter/allEntities/standard/read | Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Alle eigenschappen van aanvalspayloads lezen in Aanvalssimulatie |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Alle eigenschappen van sjablonen voor aanvalssimulatie lezen in Aanvalssimulatie |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Serviceondersteuningsbeheerder
Gebruikers met deze rol kunnen ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure-portal en het Microsoft 365-beheercentrum. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
Deze rol heette eerder Service Beheer istrator in Azure Portal en Microsoft 365-beheercentrum. De naam is gewijzigd in serviceondersteuning Beheer istrator, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Azure AD PowerShell.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
SharePoint-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
In de Microsoft Graph API en Azure AD PowerShell heeft deze rol de naam SharePoint Service Beheer istrator. In De Azure-portal heeft deze de naam SharePoint Beheer istrator.
Notitie
Deze rol verleent ook machtigingen met een bepaald bereik aan de Microsoft Graph-API voor Microsoft Intune, waardoor beleidsregels met betrekking tot SharePoint- en OneDrive-resources kunnen worden beheerd en geconfigureerd.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Skype voor Bedrijven-beheerder
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, en beheren Skype-specifieke gebruikerskenmerken in Microsoft Entra ID. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren, de servicestatus te bewaken en toegang tot het Teams- en Skype voor Bedrijven-beheercentrum te krijgen. Het account moet ook een licentie voor Teams hebben om Teams PowerShell-cmdlets te kunnen uitvoeren. Zie Skype voor Bedrijven Online Beheer- en Teams-licentiegegevens in Skype voor Bedrijven uitbreidingslicenties voor meer informatie.
Notitie
In de Microsoft Graph API en Azure AD PowerShell heet deze rol Lync Service Beheer istrator. In Azure Portal heet deze Skype voor Bedrijven Beheer istrator.
| Acties | Beschrijving |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Teams-beheerder
Gebruikers met deze rol kunnen alle aspecten van de Microsoft Teams-workload beheren via het Microsoft Teams- en Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerhulpprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Deze rol biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.teams/allEntities/allProperties/allTasks | Alle resources in Teams beheren |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Toegangsbeleid voor meerdere tenants voor partners maken |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
| microsoft.directory/pendingExternalUserProfiles/create | Externe gebruikersprofielen maken in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
| microsoft.directory/externalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken |
Teams-communicatiebeheerder
Gebruikers met deze rol kunnen aspecten van de Microsoft Teams-workload met betrekking tot spraak en telefonie beheren. Dit omvat de beheerhulpprogramma's voor het toewijzen van telefoonnummers, spraak- en vergaderingsbeleidsregels en volledige toegang tot de hulpmiddelenset voor gespreksanalyse.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.teams/callQuality/allProperties/read | Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
| microsoft.teams/meetings/allProperties/allTasks | Vergaderingen beheren, inclusief vergaderingsbeleidsregels, configuraties en vergaderingsbruggen |
| microsoft.teams/voice/allProperties/allTasks | Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers |
Ondersteuningstechnicus voor Teams-communicatie
Gebruikers met deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met de probleemoplossingsprogramma's voor gesprekken van gebruikers in het beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen de volledige gespreksrecordgegevens bekijken van alle betreffende deelnemers. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.teams/callQuality/allProperties/read | Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
Ondersteuningsspecialist voor Teams-communicatie
Gebruikers met deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met de probleemoplossingsprogramma's voor gesprekken van gebruikers in het beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen alleen de gebruikersgegevens in het gesprek bekijken voor een specifieke, opgezochte gebruiker. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.teams/callQuality/standard/read | Basisgegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
Teams-apparaatbeheerder
Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan gegevens over elk apparaat controleren, waaronder het aangemelde account en het merk en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen om de Teams-activiteit en gesprekskwaliteit van het apparaat te controleren.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.teams/devices/standard/read | Alle aspecten van Teams-gecertificeerde apparaten beheren, inclusief configuratiebeleidsregels |
Maker van tenant
Wijs de rol TenantMaker toe aan gebruikers die de volgende taken moeten uitvoeren:
- Maak zowel Microsoft Entra- als Azure Active Directory B2C-tenants, zelfs als de wisselknop voor het maken van de tenant is uitgeschakeld in de gebruikersinstellingen
Notitie
De makers van de tenant krijgen de rol Globale beheerder toegewezen voor de nieuwe tenants die ze maken.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Nieuwe tenants maken in Microsoft Entra-id |
Lezer van gebruiksoverzichtsrapporten
Wijs de rol Lezer voor gebruiksoverzichtsrapporten toe aan gebruikers die de volgende taken moeten uitvoeren in de Microsoft 365-beheercentrum:
- De gebruiksrapporten en acceptatiescore weergeven
- Organisatie-inzichten lezen, maar geen persoonlijke informatie (PII) van gebruikers
Met deze rol kunnen gebruikers alleen gegevens op organisatieniveau weergeven met de volgende uitzonderingen:
- Gebruikers van leden kunnen gebruikersbeheergegevens en -instellingen bekijken.
- Gastgebruikers aan wie deze rol is toegewezen, kunnen geen gebruikersbeheergegevens en -instellingen weergeven.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Gebruikersbeheerder
Dit is een bevoorrechte rol. Wijs de rol Gebruiker Beheer istrator toe aan gebruikers die het volgende moeten doen:
| Machtiging | Meer informatie |
|---|---|
| Gebruikers maken | |
| De meeste gebruikerseigenschappen voor alle gebruikers bijwerken, inclusief alle beheerders | Wie kunt gevoelige acties uitvoeren |
| Gevoelige eigenschappen (inclusief user principal name) voor sommige gebruikers bijwerken | Wie kunt gevoelige acties uitvoeren |
| Sommige gebruikers uitschakelen of inschakelen | Wie kunt gevoelige acties uitvoeren |
| Sommige gebruikers verwijderen of herstellen | Wie kunt gevoelige acties uitvoeren |
| Gebruikersweergaven maken en beheren | |
| Alle groepen maken en beheren | |
| Licenties toewijzen en lezen voor alle gebruikers, inclusief alle beheerders | |
| Wachtwoorden opnieuw instellen | Wie kan wachtwoorden opnieuw instellen |
| Vernieuwingstokens ongeldig maken | Wie kan wachtwoorden opnieuw instellen |
| (FIDO-)apparaatsleutels bijwerken | |
| Beleid voor wachtwoordverloop bijwerken | |
| Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum | |
| Servicestatus bewaken |
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan MFA niet beheren.
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
- Kan gedeelde postvakken niet beheren.
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Bijvoorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra-id en elders die niet zijn verleend aan gebruikers-Beheer istrators. Via dit pad kan een gebruikersbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheer istrators in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
| Acties | Beschrijving |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Microsoft Entra-id |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Alle eigenschappen van toegangsbeoordelingen voor Microsoft Entra-roltoewijzingen lezen |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. |
| microsoft.directory/accessReviews/definitions.groups/create | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken. |
| microsoft.directory/accessReviews/definitions.groups/delete | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen. |
| microsoft.directory/contacts/create | Contacten maken |
| microsoft.directory/contacts/delete | Contactpersonen verwijderen |
| microsoft.directory/contacts/basic/update | Basiseigenschappen voor contactpersonen bijwerken |
| microsoft.directory/deletedItems.groups/restore | Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status |
| microsoft.directory/deletedItems.users/restore | Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer |
| microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
| microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
| microsoft.directory/groups/restore | Groepen terugzetten vanuit een voorlopig verwijderde container |
| microsoft.directory/groups/basic/update | Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/classification/update | De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Verbinding maken |
| microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
| microsoft.directory/groups/visibility/update | De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken |
| microsoft.directory/policies/standard/read | Basiseigenschappen voor beleidsregels lezen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
| microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
| microsoft.directory/users/create | Gebruikers toevoegen |
| microsoft.directory/users/convertExternalToInternalMemberUser | Externe gebruiker converteren naar interne gebruiker |
| microsoft.directory/users/delete | Gebruikers verwijderen |
| microsoft.directory/users/disable | Gebruikers uitschakelen |
| microsoft.directory/users/enable | Gebruikers inschakelen |
| microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
| microsoft.directory/users/invalidateAllRefreshTokens | Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken |
| microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
| microsoft.directory/users/restore | Verwijderde gebruikers herstellen |
| microsoft.directory/users/basic/update | Basiseigenschappen voor gebruikers bijwerken |
| microsoft.directory/users/manager/update | Beheerder van gebruikers bijwerken |
| microsoft.directory/users/password/update | Wachtwoorden voor alle gebruikers opnieuw instellen |
| microsoft.directory/users/photo/update | Foto van gebruikers bijwerken |
| microsoft.directory/users/sponsors/update | Sponsors van gebruikers bijwerken |
| microsoft.directory/users/usageLocation/update | Gebruikslocatie van gebruikers bijwerken |
| microsoft.directory/users/userPrincipalName/update | User Principal Name van gebruikers bijwerken |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder voor virtuele bezoeken
Gebruikers met deze rol kunnen de volgende taken uitvoeren:
- Alle aspecten van virtuele bezoeken in Bookings beheren en configureren in het Microsoft 365-beheercentrum en in de Teams EHR-connector
- Gebruiksrapporten weergeven voor virtuele bezoeken in het Teams-beheercentrum, Microsoft 365-beheercentrum, Infrastructuur en Power BI
- Functies en instellingen bekijken in het Microsoft 365-beheercentrum, maar geen instellingen bewerken
Virtuele bezoeken zijn een eenvoudige manier om online- en videoafspraken voor medewerkers en deelnemers te plannen en beheren. Gebruiksrapportage kan bijvoorbeeld laten zien hoe het verzenden van sms-berichten vóór afspraken ervoor kan zorgen dat minder personen niet komen opdagen voor hun afspraak.
| Acties | Beschrijving |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Viva Goals Beheer istrator
Wijs de rol Viva Goals Beheer istrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van de Microsoft Viva Goals-toepassing beheren en configureren
- Microsoft Viva Goals-beheerdersinstellingen configureren
- Microsoft Entra-tenantgegevens lezen
- Microsoft 365-servicestatus bewaken
- Serviceaanvragen voor Microsoft 365 maken en beheren
Zie Rollen en machtigingen in Viva Goals en Inleiding tot Microsoft Viva Goals voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Goals beheren |
Viva Pulse Beheer istrator
Wijs de rol Viva Pulse Beheer istrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle instellingen van Viva Pulse lezen en configureren
- Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
- Azure Service Health lezen en configureren
- Azure-ondersteuningstickets maken en beheren
- Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
Zie Een Viva Pulse-beheerder toewijzen in de Microsoft 365-beheercentrum voor meer informatie.
| Acties | Beschrijving |
|---|---|
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Pulse beheren |
Windows 365-beheerder
Gebruikers met deze rol hebben algemene machtigingen voor Windows 365-resources, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren.
Gebruikers met deze rol kunnen beveiligingsgroepen maken en beheren, maar hebben geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat beheerders eigenaren of lidmaatschappen van Microsoft 365-groepen in de organisatie niet kunnen bijwerken. Ze kunnen echter wel de Microsoft 365-groep beheren die ze maken als onderdeel van hun eindgebruikersbevoegdheden. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die ze maken, wordt meegeteld voor hun quotum van 250.
Wijs de rol 'Windows 365-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Windows 365 Cloud-pc s beheren in Microsoft Intune
- Apparaten inschrijven en beheren in Microsoft Entra-id, inclusief het toewijzen van gebruikers en beleid
- Beveiligingsgroepen maken en beheren, maar geen groepen waaraan rollen kunnen worden toegewezen
- Basiseigenschappen bekijken in het Microsoft 365-beheercentrum
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
| Acties | Beschrijving |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Apparaten permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/deletedItems.devices/restore | Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat |
| microsoft.directory/devices/create | Apparaten maken (inschrijven bij Microsoft Entra ID) |
| microsoft.directory/devices/delete | Apparaten verwijderen uit Microsoft Entra-id |
| microsoft.directory/devices/disable | Apparaten uitschakelen in Microsoft Entra-id |
| microsoft.directory/devices/enable | Apparaten inschakelen in Microsoft Entra-id |
| microsoft.directory/devices/basic/update | Basiseigenschappen voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet1/update | De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet2/update | De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken |
| microsoft.directory/devices/extensionAttributeSet3/update | De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken |
| microsoft.directory/devices/registeredOwners/update | Geregistreerde eigenaren van apparaten bijwerken |
| microsoft.directory/devices/registeredUsers/update | Geregistreerde gebruikers van apparaten bijwerken |
| microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/classification/update | De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.security/visibility/update | De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen voor toepassingsbeleidsregels voor apparaatbeheer lezen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Windows Update-implementatiebeheerder
Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd, en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van updates bewaken.
| Acties | Beschrijving |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Alle aspecten van Windows Update Service lezen en configureren |
Yammer-beheerder
Wijs de rol 'Yammer-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van Yammer beheren
- Microsoft 365-groepen maken, beheren en herstellen, maar geen groepen waaraan rollen kunnen worden toegewezen
- De verborgen leden van beveiligingsgroepen en Microsoft 365-groepen bekijken, inclusief groepen waaraan rollen kunnen worden toegewezen
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
- Aankondigingen bekijken in het Berichtencentrum, maar geen beveiligingsaankondigingen
- Servicestatus weergeven
| Acties | Beschrijving |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
| microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
| microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
| microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
| microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Alle aspecten van Yammer beheren |
Afgeschafte rollen
De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst verwijderd uit de Microsoft Entra-id.
- Ad-hoclicentiebeheerder
- Apparaatkoppeling
- Apparaatbeheerders
- Apparaatgebruikers
- Maker van via e-mail geverifieerde gebruikers
- Postvakbeheerder
- Werkplekapparaatkoppeling
Rollen die niet worden weergegeven in de portal
Niet elke rol die wordt geretourneerd door PowerShell of de Microsoft Graph-API is zichtbaar in de Azure-portal. In de volgende tabel worden deze verschillen weergegeven.
| API-naam | Azure-portaalnaam | Opmerkingen |
|---|---|---|
| Apparaatkoppeling | Afgeschaft | Documentatie over afgeschafte rollen |
| Apparaatbeheerders | Afgeschaft | Documentatie over afgeschafte rollen |
| Apparaatgebruikers | Afgeschaft | Documentatie over afgeschafte rollen |
| Adreslijstsynchronisatieaccounts | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over adreslijstsynchronisatieaccounts |
| Gastgebruiker | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
| Partnerondersteuning voor laag 1 | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over partnerondersteuning voor laag 1 |
| Partnerondersteuning voor laag 2 | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over partnerondersteuning voor laag 2 |
| Beperkte gastgebruiker | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
| Gebruiker | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
| Werkplekapparaatkoppeling | Afgeschaft | Documentatie over afgeschafte rollen |
Volgende stappen
Feedback
Feedback verzenden en weergeven voor