Role wbudowane usługi Azure AD

W usłudze Azure Active Directory (Azure AD), jeśli inny administrator lub inny administrator musi zarządzać zasobami Azure AD, przypiszesz im rolę Azure AD, która zapewnia wymagane uprawnienia. Można na przykład przypisać role, aby umożliwić dodawanie lub zmienianie użytkowników, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników lub zarządzanie nazwami domen.

W tym artykule wymieniono wbudowane role Azure AD, które można przypisać, aby umożliwić zarządzanie zasobami Azure AD. Aby uzyskać informacje na temat przypisywania ról, zobaczPrzypisywanie ról usługi Azure AD do użytkowników. Jeśli szukasz ról do zarządzania zasobami platformy Azure, zobacz Role wbudowane platformy Azure.

Wszystkie role

Rola Opis Identyfikator szablonu
Administrator aplikacji Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzać nimi. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Deweloper aplikacji Może tworzyć rejestracje aplikacji niezależnie od ustawienia "Użytkownicy mogą rejestrować aplikacje". cf1c38e5-3621-4004-a7cb-879624dced7c
Autor ładunku ataku Może tworzyć ładunki ataku, które administrator może zainicjować później. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrator symulacji ataku Może tworzyć wszystkie aspekty kampanii symulacji ataków i zarządzać nimi. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrator przypisania atrybutów Przypisz niestandardowe klucze i wartości atrybutów zabezpieczeń do obsługiwanych obiektów Azure AD. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Czytelnik przypisań atrybutów Odczytaj niestandardowe klucze atrybutów zabezpieczeń i wartości dla obsługiwanych obiektów Azure AD. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrator definicji atrybutu Definiowanie definicji niestandardowych atrybutów zabezpieczeń i zarządzanie nimi. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Czytelnik definicji atrybutów Przeczytaj definicję niestandardowych atrybutów zabezpieczeń. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrator uwierzytelniania Może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrator zasad uwierzytelniania Może tworzyć zasady metod uwierzytelniania i zarządzać nimi, ustawienia uwierzytelniania wieloskładnikowego dla całej dzierżawy, zasady ochrony haseł i weryfikowalne poświadczenia. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure AD dołączonego administratora lokalnego urządzenia Użytkownicy przypisani do tej roli są dodawani do lokalnej grupy administratorów na urządzeniach dołączonych do Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps Administrator Może zarządzać zasadami i ustawieniami usługi Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrator usługi Azure Information Protection Może zarządzać wszystkimi aspektami produktu Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrator zestawu kluczy IEF B2C Może zarządzać wpisami tajnymi na potrzeby federacji i szyfrowania w programie Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Administrator zasad IEF B2C Może tworzyć zasady platform zaufania i zarządzać nimi w strukturze środowiska obsługi tożsamości (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrator rozliczeń Może wykonywać typowe zadania związane z rozliczeniami, takie jak aktualizowanie informacji o płatności. b0f54661-2d74-4c50-afa3-1ec803f12efe
administrator Cloud App Security Może zarządzać wszystkimi aspektami produktu Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrator aplikacji w chmurze Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzać nimi, z wyjątkiem serwera proxy aplikacji. 158c047a-c907-4556-b7ef-446551a6b5f7
Administrator urządzeń w chmurze Ograniczony dostęp do zarządzania urządzeniami w Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Administrator zgodności Może odczytywać konfigurację zgodności i raporty oraz zarządzać nimi w Azure AD i rozwiązaniu Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrator danych zgodności Tworzy zawartość zgodności i zarządza nią. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrator dostępu warunkowego Może zarządzać możliwościami dostępu warunkowego. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Osoba zatwierdzająca dostęp lockbox klienta Może zatwierdzić żądania pomocy technicznej firmy Microsoft w celu uzyskania dostępu do danych organizacyjnych klienta. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
administrator Desktop Analytics Może uzyskiwać dostęp do narzędzi i usług zarządzania pulpitami oraz zarządzać nimi. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Czytelnicy katalogów Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości. 88d8e3e3e3-8f55-4a1e-953a-9b9898b8876b
Konta synchronizacji katalogów Tylko używane przez usługę Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Autorzy katalogów Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. 9360feb5-f418-4baa-8175-e2a00bac4301
Administrator nazwy domeny Może zarządzać nazwami domen w chmurze i lokalnie. 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 Administrator Może zarządzać wszystkimi aspektami produktu Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Edge Administrator Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administrator programu Exchange Może zarządzać wszystkimi aspektami produktu Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrator adresata programu Exchange Może tworzyć lub aktualizować adresatów Exchange Online w organizacji Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrator przepływu użytkownika identyfikatora zewnętrznego Może tworzyć wszystkie aspekty przepływów użytkowników i zarządzać nimi. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego Może tworzyć schemat atrybutów i zarządzać nim dostępnym dla wszystkich przepływów użytkownika. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrator zewnętrznego dostawcy tożsamości Może skonfigurować dostawców tożsamości do użycia w federacji bezpośredniej. be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrator globalny Może zarządzać wszystkimi aspektami usług Azure AD i firmy Microsoft korzystających z tożsamości Azure AD. 62e90394-69f5-4237-9190-012177145e10
Czytelnik globalny Może odczytać wszystko, co może administrator globalny, ale nie może nic zaktualizować. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrator grup Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć/zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania, oraz wyświetlać raporty aktywności i inspekcji grup. fdd7a751-b60b-444a-984c-02652fe8fa1c
Osoba zapraszana gościa Może zapraszać użytkowników-gości niezależnie od ustawienia "członkowie mogą zapraszać gości". 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrator pomocy technicznej Może resetować hasła dla administratorów niebędących administratorami i administratorami pomocy technicznej. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrator tożsamości hybrydowej Może zarządzać usługą AD w celu Azure AD aprowizacji w chmurze, Azure AD Connect, uwierzytelniania przekazywanego (PTA), synchronizacji skrótów haseł (PHS), bezproblemowego logowania jednokrotnego (bezproblemowego logowania jednokrotnego) i ustawień federacji. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrator ładu tożsamości Zarządzanie dostępem przy użyciu Azure AD na potrzeby scenariuszy zarządzania tożsamościami. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Administrator szczegółowych informacji Ma dostęp administracyjny do aplikacji Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analityk szczegółowych informacji Uzyskaj dostęp do funkcji analitycznych w Szczegółowe informacje Microsoft Viva i uruchom zapytania niestandardowe. 25df335f-86eb-4119-b717-0ff02de207e9
Lider biznesowy szczegółowych informacji Może wyświetlać i udostępniać pulpity nawigacyjne i szczegółowe informacje za pośrednictwem aplikacji Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d2d
Administrator usługi Intune Może zarządzać wszystkimi aspektami produktu Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala Administrator Może zarządzać ustawieniami usługi Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrator wiedzy Może konfigurować wiedzę, uczenie się i inne inteligentne funkcje. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Menedżer wiedzy Może organizować, tworzyć i promować tematy i wiedzę oraz zarządzać nimi. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrator licencji Może zarządzać licencjami produktów dla użytkowników i grup. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrator przepływów pracy cyklu życia Tworzenie wszystkich aspektów przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzanie nimi w Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Czytelnik prywatności Centrum wiadomości Może odczytywać komunikaty zabezpieczeń i aktualizacje tylko w centrum komunikatów Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Czytelnik Centrum komunikatów Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w centrum wiadomości Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Nowoczesny użytkownik handlowy Może zarządzać zakupami komercyjnymi dla firmy, działu lub zespołu. d24aef57-1500-4070-84db-2666f29cf966
Administrator sieci Może zarządzać lokalizacjami sieciowymi i przeglądać szczegółowe informacje dotyczące projektowania sieci przedsiębiorstwa dla aplikacji microsoft 365 Software as a Service. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrator aplikacji pakietu Office Może zarządzać usługami w chmurze aplikacji pakietu Office, w tym zarządzanie zasadami i ustawieniami oraz zarządzać możliwością wybierania, usuwania zaznaczenia i publikowania zawartości funkcji "co nowego" na urządzeniach użytkowników końcowych. 2b745bdf-0803-4d80-aa65-822c493daac
Obsługa warstwy Partner1 Nie należy używać — nie jest przeznaczona do użytku ogólnego. 4ba39ca4-527c-499a-b93d-d9b492c50246
Obsługa warstwy Partner2 Nie należy używać — nie jest przeznaczona do użytku ogólnego. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrator haseł Może resetować hasła dla administratorów innych niż administratorzy i administratorzy haseł. 966707d0-3269-4727-9be2-8c3a10f19b9d
Administrator zarządzania uprawnieniami Może zarządzać wszystkimi aspektami zarządzania uprawnieniami. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power BI Administrator Może zarządzać wszystkimi aspektami produktu Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform Administrator Może tworzyć wszystkie aspekty usługi Microsoft Dynamics 365, Power Apps i Power Automate oraz zarządzać nimi. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrator drukarki Może zarządzać wszystkimi aspektami drukarek i łączników drukarek. 644ef478-e28f-4e28-b9dc-3fdde9a0b1f
Technik drukarek Może rejestrować i wyrejestrować drukarki oraz aktualizować stan drukarki. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrator uwierzytelniania uprzywilejowanego Może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub administratora). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrator ról uprzywilejowanych Może zarządzać przypisaniami ról w Azure AD i wszystkich aspektach Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Czytelnik raportów Może odczytywać raporty logowania i inspekcji. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrator wyszukiwania Może tworzyć wszystkie aspekty ustawień usługi Microsoft Search i zarządzać nimi. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Edytor wyszukiwania Może tworzyć treści redakcyjne, takie jak zakładki, Q i As, lokalizacje, plan pomieszczeń i zarządzać nimi. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrator zabezpieczeń Może odczytywać informacje o zabezpieczeniach i raporty oraz zarządzać konfiguracją w Azure AD i Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operator zabezpieczeń Tworzy zdarzenia zabezpieczeń i zarządza nimi. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Czytelnik zabezpieczeń Może odczytywać informacje o zabezpieczeniach i raporty w Azure AD i Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Administrator pomocy technicznej usługi Może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint Administrator Może zarządzać wszystkimi aspektami usługi SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
administrator Skype dla firm Może zarządzać wszystkimi aspektami produktu Skype dla firm. 75941009-915a-4869-abe7-691bff18279e
Teams Administrator Może zarządzać usługą Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrator komunikacji usługi Teams Może zarządzać funkcjami połączeń i spotkań w usłudze Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Inżynier pomocy technicznej ds. komunikacji w usłudze Teams Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu zaawansowanych narzędzi. f70938a0-fc10-4177-9e90-2178f8765737
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu podstawowych narzędzi. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrator urządzeń usługi Teams Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Czytelnik raportów podsumowania użycia Może wyświetlać tylko agregacje na poziomie dzierżawy w usłudze Microsoft 365 Usage Analytics i Productivity Score. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrator użytkowników Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów. fe930be7-5e62-47db-91af-98c3a49a38b1
Administrator wizyt wirtualnych Zarządzanie i udostępnianie informacji o wirtualnych wizytach i metrykach z centrów administracyjnych lub aplikacji Wirtualne wizyty. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
administrator Windows 365 Może aprowizować wszystkie aspekty komputerów w chmurze i zarządzać nimi. 11451d60-acb2-45eb-a7d6-43d0f0125c13
administrator wdrażania Windows Update Może tworzyć wszystkie aspekty wdrożeń Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania Windows Update dla firm. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer Administrator Zarządzanie wszystkimi aspektami usługi Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrator aplikacji

Użytkownicy w tej roli mogą tworzyć wszystkie aspekty aplikacji dla przedsiębiorstw, rejestracji aplikacji i ustawień serwera proxy aplikacji oraz zarządzać nimi. Należy pamiętać, że użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.

Ta rola daje również możliwość wyrażania zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph.

Ważne

Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład aplikacji innych niż Microsoft lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak administrator globalny.

Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Ta możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może wykonać za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli Administrator aplikacji daje im możliwość personifikacji tożsamości aplikacji.

Akcje Opis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych w usłudze Azure AD
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuń wszystkie typy aplikacji
microsoft.directory/applications/applicationProxy/read Odczytywanie wszystkich właściwości serwera proxy aplikacji
microsoft.directory/applications/applicationProxy/update Aktualizowanie wszystkich właściwości serwera proxy aplikacji
microsoft.directory/applications/applicationProxyAuthentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/applicationProxySslCertificate/update Aktualizowanie ustawień certyfikatu SSL dla serwera proxy aplikacji
microsoft.directory/applications/applicationProxyUrlSettings/update Aktualizowanie ustawień adresu URL serwera proxy aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owners/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizacja uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/verification/update Aktualizowanie właściwości weryfikacji aplikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/connectors/create Tworzenie łączników serwera proxy aplikacji
microsoft.directory/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/create Tworzenie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/delete Usuwanie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/update Aktualizowanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie aplikacji usuniętych nietrwale do stanu pierwotnego
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/applicationPolicies/create Tworzenie zasad aplikacji
microsoft.directory/applicationPolicies/delete Usuwanie zasad aplikacji
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owners/read Odczytywanie właścicieli zasad aplikacji
microsoft.directory/applicationPolicies/policyAppliedTo/read Odczytywanie zasad aplikacji zastosowanych do listy obiektów
microsoft.directory/applicationPolicies/basic/update Aktualizowanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owners/update Aktualizowanie właściwości właściciela zasad aplikacji
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udzielanie zgody na uprawnienia aplikacji i delegowane uprawnienia w imieniu dowolnego użytkownika lub wszystkich użytkowników, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości dla jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owners/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Deweloper aplikacji

Użytkownicy w tej roli mogą tworzyć rejestracje aplikacji, gdy ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość Nie. Ta rola udziela również uprawnień do wyrażania zgody we własnym imieniu, gdy ustawienie "Użytkownicy mogą wyrazić zgodę na aplikacje korzystające z danych firmy w ich imieniu" ma wartość Nie. Użytkownicy przypisani do tej roli są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji.

Akcje Opis
microsoft.directory/applications/createAsOwner Tworzenie wszystkich typów aplikacji, a twórca jest dodawany jako pierwszy właściciel
microsoft.directory/oAuth2PermissionGrants/createAsOwner Tworzenie dotacji uprawnień OAuth 2.0 z twórcą jako pierwszy właściciel
microsoft.directory/servicePrincipals/createAsOwner Tworzenie jednostek usługi z twórcą jako pierwszym właścicielem

Autor ładunku ataku

Użytkownicy w tej roli mogą tworzyć ładunki ataków, ale nie uruchamiają ani nie planują ich. Ładunki ataku są następnie dostępne dla wszystkich administratorów w dzierżawie, którzy mogą ich używać do tworzenia symulacji.

Akcje Opis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących odpowiedzi na symulację ataku i powiązanych szkoleń

Administrator symulacji ataku

Użytkownicy w tej roli mogą tworzyć i zarządzać wszystkimi aspektami tworzenia symulacji ataku, uruchamiania/planowania symulacji oraz przeglądu wyników symulacji. Członkowie tej roli mają dostęp do wszystkich symulacji w dzierżawie.

Akcje Opis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących odpowiedzi na symulację ataku i powiązanych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Tworzenie szablonów symulacji ataków i zarządzanie nimi w symulatorze ataku

Administrator przypisania atrybutów

Użytkownicy z tą rolą mogą przypisywać i usuwać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Azure AD, takich jak użytkownicy, jednostki usługi i urządzenia.

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w Azure AD.

Akcje Opis
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń
microsoft.directory/devices/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/devices/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/servicePrincipals/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/users/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników
microsoft.directory/users/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników

Czytelnik przypisań atrybutów

Użytkownicy z tą rolą mogą odczytywać niestandardowe klucze atrybutów zabezpieczeń i wartości dla obsługiwanych obiektów Azure AD.

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w Azure AD.

Akcje Opis
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń
microsoft.directory/devices/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/servicePrincipals/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/users/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników

Administrator definicji atrybutu

Użytkownicy z tą rolą mogą zdefiniować prawidłowy zestaw niestandardowych atrybutów zabezpieczeń, które można przypisać do obsługiwanych obiektów Azure AD. Ta rola może również aktywować i dezaktywować niestandardowe atrybuty zabezpieczeń.

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w Azure AD.

Akcje Opis
microsoft.directory/attributeSets/allProperties/allTasks Zarządzanie wszystkimi aspektami zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń

Czytelnik definicji atrybutów

Użytkownicy z tą rolą mogą odczytywać definicję niestandardowych atrybutów zabezpieczeń.

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w Azure AD.

Akcje Opis
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń

Administrator uwierzytelniania

Użytkownicy z tą rolą mogą ustawić lub zresetować dowolną metodę uwierzytelniania (w tym hasła) dla administratorów i niektórych ról. Administratorzy uwierzytelniania mogą wymagać od użytkowników, którzy nie są administratorami lub przypisani do niektórych ról, aby ponownie zarejestrować istniejące poświadczenia inne niż hasło (na przykład uwierzytelnianie wieloskładnikowe lub fiDO), a także odwołać zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniu, co powoduje monit o uwierzytelnianie wieloskładnikowe podczas następnego logowania. Aby uzyskać listę ról, które administrator uwierzytelniania może odczytywać lub aktualizować metody uwierzytelniania, zobacz Kto może resetować hasła.

Administratorzy uwierzytelniania mogą aktualizować poufne atrybuty dla niektórych użytkowników. Aby uzyskać listę ról, które administrator uwierzytelniania może zaktualizować poufne atrybuty, zobacz Kto może aktualizować poufne atrybuty.

Rola Administrator uwierzytelniania uprzywilejowanego ma uprawnienia do wymuszania ponownej rejestracji i uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.

Rola Administrator zasad uwierzytelniania ma uprawnienia do ustawiania zasad metody uwierzytelniania dzierżawy, które określają, które metody każdy użytkownik może zarejestrować i użyć.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metody uwierzytelniania Zarządzanie zasadami ochrony haseł Aktualizowanie atrybutów poufnych
Administrator uwierzytelniania Tak dla niektórych użytkowników (zobacz powyżej) Tak dla niektórych użytkowników (zobacz powyżej) Nie Nie Nie Tak dla niektórych użytkowników (zobacz powyżej)
Administrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie Nie Tak dla wszystkich użytkowników
Administrator zasad uwierzytelniania Nie Nie Tak Tak Tak Nie

Ważne

Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza usługą Azure Active Directory. Zmiana poświadczeń użytkownika może oznaczać możliwość założenia tożsamości i uprawnień użytkownika. Przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami aplikacji, których są właścicielami. Te aplikacje mogą mieć uprawnienia uprzywilejowane w Azure AD i gdzie indziej nie przyznane administratorom uwierzytelniania. Za pomocą tej ścieżki administrator uwierzytelniania może założyć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupie. Te grupy mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w Azure AD i w innym miejscu.
  • Administratorzy w innych usługach spoza Azure AD, takich jak Exchange Online, Office 365 Security & Compliance Center i systemy zasobów ludzkich.
  • Osoby nieadministracyjne, takie jak kierownictwo, doradca prawny i pracownicy działu kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.

Ważne

Ta rola nie może zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym ani tokenami sprzętu OATH. Te same funkcje można wykonać za pomocą polecenia Set-MsolUser Azure AD modułu programu PowerShell.

Użytkownicy z tą rolą nie mogą zmieniać poświadczeń ani resetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.

Akcje Opis
microsoft.directory/users/authenticationMethods/create Tworzenie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/standard/restrictedRead Odczytywanie standardowych właściwości metod uwierzytelniania, które nie zawierają informacji osobowych dla użytkowników
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do stanu oryginalnego
microsoft.directory/users/delete Usuwanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie, unieważniając tokeny odświeżania użytkownika
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator zasad uwierzytelniania

Użytkownicy z tą rolą mogą konfigurować zasady metod uwierzytelniania, ustawienia uwierzytelniania wieloskładnikowego dla całej dzierżawy i zasady ochrony haseł. Ta rola udziela uprawnień do zarządzania ustawieniami ochrony haseł: konfiguracje inteligentnej blokady i aktualizowanie listy niestandardowych zakazanych haseł. Administratorzy zasad uwierzytelniania nie mogą aktualizować atrybutów poufnych dla użytkowników.

Role Administrator uwierzytelniania i Administrator uwierzytelniania uprzywilejowanego mają uprawnienia do zarządzania zarejestrowanymi metodami uwierzytelniania użytkowników i mogą wymusić ponowną rejestrację i uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metod uwierzytelniania Zarządzanie zasadami ochrony haseł Aktualizowanie atrybutów poufnych
Administrator uwierzytelniania Tak dla niektórych użytkowników (zobacz powyżej) Tak dla niektórych użytkowników (zobacz powyżej) Nie Nie Nie Tak dla niektórych użytkowników (zobacz powyżej)
Administrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie Nie Tak dla wszystkich użytkowników
Administrator zasad uwierzytelniania Nie Nie Tak Tak Tak Nie

Ważne

Ta rola nie może zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym ani sprzętowych tokenów OATH.

Akcje Opis
microsoft.directory/organization/strongAuthentication/allTasks Zarządzanie wszystkimi aspektami silnych właściwości uwierzytelniania organizacji
microsoft.directory/userCredentialPolicies/create Tworzenie zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/delete Usuwanie zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/standard/read Odczytywanie standardowych właściwości zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/owners/read Odczytywanie właścicieli zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Przeczytaj policy.appliesDo linku nawigacyjnego
microsoft.directory/userCredentialPolicies/basic/update Aktualizowanie podstawowych zasad dla użytkowników
microsoft.directory/userCredentialPolicies/owners/update Aktualizowanie właścicieli zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/tenantDefault/update Aktualizacja właściwości policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odwoływanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/create Tworzenie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizowanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/create Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/delete Usuń konfigurację wymaganą do utworzenia poświadczeń weryfikowalnych i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizacja konfiguracji wymaganej do utworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi

Azure AD dołączonego administratora lokalnego urządzenia

Ta rola jest dostępna tylko dla przypisania jako dodatkowy administrator lokalny w ustawieniach urządzenia. Użytkownicy z tą rolą stają się administratorami maszyn lokalnych na wszystkich urządzeniach Windows 10 dołączonych do usługi Azure Active Directory. Nie mają możliwości zarządzania obiektami urządzeń w usłudze Azure Active Directory.

Akcje Opis
microsoft.directory/groupSettings/standard/read Odczytywanie podstawowych właściwości ustawień grupy
microsoft.directory/groupSettingTemplates/standard/read Odczytywanie podstawowych właściwości szablonów ustawień grupy

Azure DevOps Administrator

Użytkownicy z tą rolą mogą zarządzać wszystkimi zasadami usługi Azure DevOps w przedsiębiorstwie, które mają zastosowanie do wszystkich organizacji usługi Azure DevOps wspieranych przez Azure AD. Użytkownicy w tej roli mogą zarządzać tymi zasadami, przechodząc do dowolnej organizacji usługi Azure DevOps, która jest wspierana przez Azure AD firmy. Ponadto użytkownicy w tej roli mogą przejąć własność oddzielonych organizacji usługi Azure DevOps. Ta rola nie udziela żadnych innych uprawnień specyficznych dla usługi Azure DevOps (na przykład administratorów kolekcji projektów) w żadnej organizacji usługi Azure DevOps wspieranej przez organizację Azure AD firmy.

Akcje Opis
microsoft.azure.devOps/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure DevOps

Administrator usługi Azure Information Protection

Użytkownicy z tą rolą mają wszystkie uprawnienia w usłudze Azure Information Protection. Ta rola umożliwia konfigurowanie etykiet zasad usługi Azure Information Protection, zarządzanie szablonami ochrony i aktywowanie ochrony. Ta rola nie udziela żadnych uprawnień w Centrum ochrony tożsamości, Privileged Identity Management, Monitor Microsoft 365 Service Health lub Office 365 Security & Compliance Center.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator zestawu kluczy IEF B2C

Użytkownik może tworzyć klucze zasad i wpisy tajne oraz zarządzać nimi na potrzeby szyfrowania tokenów, podpisów tokenów i szyfrowania/odszyfrowywania oświadczeń. Dodając nowe klucze do istniejących kontenerów kluczy, ten ograniczony administrator może przerzucać wpisy tajne w razie potrzeby bez wpływu na istniejące aplikacje. Ten użytkownik może zobaczyć pełną zawartość tych wpisów tajnych i ich daty wygaśnięcia nawet po ich utworzeniu.

Ważne

Jest to rola wrażliwa. Rola administratora zestawu kluczy powinna być starannie przeprowadź inspekcję i przypisana z opieką podczas przedprodukcyjnej i produkcyjnej.

Akcje Opis
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Odczytywanie i konfigurowanie zestawów kluczy w usłudze Azure Active Directory B2C

Administrator zasad IEF B2C

Użytkownicy tej roli mają możliwość tworzenia, odczytywania, aktualizowania i usuwania wszystkich zasad niestandardowych w usłudze Azure AD B2C, dlatego mają pełną kontrolę nad strukturą obsługi tożsamości w odpowiedniej organizacji Azure AD B2C. Edytując zasady, ten użytkownik może ustanowić bezpośrednią federację z zewnętrznymi dostawcami tożsamości, zmienić schemat katalogu, zmienić całą zawartość użytkownika (HTML, CSS, JavaScript), zmienić wymagania, aby ukończyć uwierzytelnianie, utworzyć nowych użytkowników, wysłać dane użytkowników do systemów zewnętrznych, w tym pełne migracje, i edytować wszystkie informacje o użytkowniku, w tym poufne pola, takie jak hasła i numery telefonów. Z drugiej strony ta rola nie może zmienić kluczy szyfrowania ani edytować wpisów tajnych używanych do federacji w organizacji.

Ważne

Administrator zasad IEF B2 jest bardzo wrażliwą rolą, która powinna być przypisana w bardzo ograniczonym zakresie dla organizacji w środowisku produkcyjnym. Działania tych użytkowników powinny być ściśle poddawane inspekcji, szczególnie w przypadku organizacji w środowisku produkcyjnym.

Akcje Opis
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Odczytywanie i konfigurowanie zasad niestandardowych w usłudze Azure Active Directory B2C

Administrator rozliczeń

Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.

Akcje Opis
microsoft.directory/organization/basic/update Aktualizowanie podstawowych właściwości w organizacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.commerce.billing/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami rozliczeń Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator Cloud App Security

Użytkownicy z tą rolą mają pełne uprawnienia w usłudze Defender for Cloud Apps. Mogą dodawać administratorów, dodawać zasady i ustawienia Microsoft Defender for Cloud Apps, przekazywać dzienniki i wykonywać akcje ładu.

Akcje Opis
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator aplikacji w chmurze

Użytkownicy w tej roli mają te same uprawnienia co rola administrator aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji. Ta rola zapewnia możliwość tworzenia wszystkich aspektów aplikacji i rejestracji aplikacji dla przedsiębiorstw i zarządzania nimi. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji ani aplikacji dla przedsiębiorstw.

Ta rola daje również możliwość wyrażania zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph.

Ważne

Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład aplikacje innych niż Microsoft lub zarejestrowane aplikacje). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak administrator globalny.

Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Ta możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli Administrator aplikacji daje im możliwość personifikacji tożsamości aplikacji.

Akcje Opis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych w Azure AD
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuwanie wszystkich typów aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owners/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizacja uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/verification/update Aktualizowanie właściwości weryfikacji aplikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie aplikacji usuniętych nietrwale do stanu pierwotnego
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/applicationPolicies/create Tworzenie zasad aplikacji
microsoft.directory/applicationPolicies/delete Usuwanie zasad aplikacji
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owners/read Odczytywanie właścicieli zasad aplikacji
microsoft.directory/applicationPolicies/policyAppliedTo/read Odczytywanie zasad aplikacji zastosowanych do listy obiektów
microsoft.directory/applicationPolicies/basic/update Aktualizowanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owners/update Aktualizowanie właściwości właściciela zasad aplikacji
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udzielanie zgody na uprawnienia aplikacji i delegowane uprawnienia w imieniu dowolnego użytkownika lub wszystkich użytkowników, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości dla jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owners/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator urządzeń w chmurze

Użytkownicy w tej roli mogą włączać, wyłączać i usuwać urządzenia w Azure AD i odczytywać Windows 10 klucze funkcji BitLocker (jeśli są obecne) w Azure Portal. Rola nie udziela uprawnień do zarządzania innymi właściwościami na urządzeniu.

Akcje Opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwale usuniętych urządzeń do stanu pierwotnego
microsoft.directory/devices/delete Usuwanie urządzeń z Azure AD
microsoft.directory/devices/disable Wyłączanie urządzeń w Azure AD
microsoft.directory/devices/enable Włączanie urządzeń w Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji do zarządzania urządzeniami
microsoft.directory/deviceManagementPolicies/basic/update Aktualizowanie podstawowych właściwości zasad aplikacji do zarządzania urządzeniami
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizowanie podstawowych właściwości zasad rejestracji urządzeń
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365

Administrator zgodności

Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi ze zgodnością w portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365, na platformie Azure i Office 365 Security & Compliance Center. Przypisani mogą również zarządzać wszystkimi funkcjami w centrum administracyjnym programu Exchange i centrum administracyjnym usługi Teams & Skype dla firm oraz tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Więcej informacji można znaleźć w temacie About Microsoft 365 admin roles (Informacje o rolach administratora platformy Microsoft 365).

W Może to zrobić
portal zgodności Microsoft Purview Ochrona danych organizacji i zarządzanie nimi w usługach Platformy Microsoft 365
Zarządzanie alertami zgodności
Menedżer zgodności Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji
& zabezpieczenia Office 365 Centrum zgodności Zarządzanie ładem danych
Wykonywanie dochodzeń prawnych i danych
Zarządzanie żądaniem podmiotu danych

Ta rola ma te same uprawnienia co grupa ról administratora zgodności w Office 365 kontroli dostępu opartej na rolach Centrum zgodności zabezpieczeń&.
Intune Wyświetlanie wszystkich danych inspekcji Intune
Microsoft Defender for Cloud Apps Ma uprawnienia tylko do odczytu i może zarządzać alertami
Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików
Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi
Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami Azure AD
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator danych zgodności

Użytkownicy z tą rolą mają uprawnienia do śledzenia danych w portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365 i na platformie Azure. Użytkownicy mogą również śledzić dane zgodności w centrum administracyjnym programu Exchange, Menedżerze zgodności i aplikacji Teams & Skype dla firm centrum administracyjnym oraz tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Ta dokumentacja zawiera szczegółowe informacje na temat różnic między administratorem zgodności i administratorem danych zgodności.

W Może to zrobić
portal zgodności Microsoft Purview Monitorowanie zasad związanych ze zgodnością w usługach Platformy Microsoft 365
Zarządzanie alertami zgodności
Menedżer zgodności Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji
& zabezpieczenia Office 365 Centrum zgodności Zarządzanie ładem danych
Wykonywanie dochodzeń prawnych i danych
Zarządzanie żądaniem podmiotu danych

Ta rola ma te same uprawnienia co grupa ról administratora danych zgodności w Office 365 kontroli dostępu opartej na rolach Centrum zgodności zabezpieczeń&.
Intune Wyświetlanie wszystkich danych inspekcji Intune
Microsoft Defender for Cloud Apps Ma uprawnienia tylko do odczytu i może zarządzać alertami
Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików
Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi
Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Microsoft Defender for Cloud Apps
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator dostępu warunkowego

Użytkownicy z tą rolą mogą zarządzać ustawieniami dostępu warunkowego usługi Azure Active Directory.

Akcje Opis
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/conditionalAccessPolicies/create Tworzenie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/delete Usuwanie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owners/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "Zastosowano do" dla zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizowanie podstawowych właściwości zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizowanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizowanie dzierżawy domyślnej dla zasad dostępu warunkowego

Osoba zatwierdzająca dostęp do skrytki klienta

Zarządza żądaniami skrytki klienta w organizacji. Otrzymują powiadomienia e-mail dotyczące żądań skrytki klienta i mogą zatwierdzać i odrzucać żądania od Centrum administracyjne platformy Microsoft 365. Mogą również włączać lub wyłączać funkcję skrytki klienta. Tylko administratorzy globalni mogą resetować hasła osób przypisanych do tej roli.

Akcje Opis
microsoft.office365.lockbox/allEntities/allTasks Zarządzanie wszystkimi aspektami skrytki klienta
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator Desktop Analytics

Użytkownicy w tej roli mogą zarządzać usługą Desktop Analytics. Obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania oraz wyświetlania stanu wdrożenia i kondycji.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.desktopAnalytics/allEntities/allTasks Zarządzanie wszystkimi aspektami Desktop Analytics

Czytelnicy katalogów

Użytkownicy w tej roli mogą odczytywać podstawowe informacje o katalogu. Ta rola powinna być używana dla:

  • Udzielanie określonego zestawu użytkowników-gości dostępu do odczytu zamiast udzielania go wszystkim użytkownikom-gościom.
  • Udzielanie określonego zestawu użytkowników niebędących administratorami dostępu do Azure Portal, gdy opcja "Ogranicz dostęp do portalu Azure AD tylko administratorom" jest ustawiona na wartość "Tak".
  • Udzielanie jednostkom usługi dostępu do katalogu, w którym Directory.Read.All nie jest opcją.
Akcje Opis
microsoft.directory/administrativeUnits/standard/read Odczytywanie podstawowych właściwości w jednostkach administracyjnych
microsoft.directory/administrativeUnits/members/read Odczytywanie członków jednostek administracyjnych
microsoft.directory/applications/standard/read Odczytywanie standardowych właściwości aplikacji
microsoft.directory/applications/owners/read Odczytywanie właścicieli aplikacji
microsoft.directory/applications/policies/read Odczytywanie zasad aplikacji
microsoft.directory/contacts/standard/read Odczytywanie podstawowych właściwości kontaktów w Azure AD
microsoft.directory/contacts/memberOf/read Przeczytaj członkostwo w grupie dla wszystkich kontaktów w Azure AD
microsoft.directory/contracts/standard/read Odczytywanie podstawowych właściwości kontraktów partnerskich
microsoft.directory/devices/standard/read Odczytywanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/memberOf/read Odczytywanie członkostw w urządzeniach
microsoft.directory/devices/registeredOwners/read Odczytywanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/read Odczytywanie zarejestrowanych użytkowników urządzeń
microsoft.directory/directoryRoles/standard/read Odczytywanie podstawowych właściwości w rolach Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Przeczytaj uprawnionych członków ról Azure AD
microsoft.directory/directoryRoles/members/read Odczytywanie wszystkich członków ról Azure AD
microsoft.directory/domains/standard/read Odczytywanie podstawowych właściwości w domenach
microsoft.directory/groups/standard/read Odczytywanie standardowych właściwości grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/appRoleAssignments/read Odczytywanie przypisań ról aplikacji grup
microsoft.directory/groups/memberOf/read Przeczytaj właściwość memberOf w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grupach z możliwością przypisywania ról
microsoft.directory/groups/members/read Odczytywanie członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/owner/read Odczytywanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/settings/read Odczyt ustawień grup
microsoft.directory/groupSettings/standard/read Odczytywanie podstawowych właściwości w ustawieniach grupy
microsoft.directory/groupSettingTemplates/standard/read Odczytywanie podstawowych właściwości szablonów ustawień grupy
microsoft.directory/oAuth2PermissionGrants/standard/read Odczytywanie podstawowych właściwości przy udzielanych uprawnieniach protokołu OAuth 2.0
microsoft.directory/organization/standard/read Odczytywanie podstawowych właściwości w organizacji
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Odczytywanie zaufanych urzędów certyfikacji na potrzeby uwierzytelniania bez hasła
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/roleAssignments/standard/read Odczytywanie podstawowych właściwości przypisań ról
microsoft.directory/roleDefinitions/standard/read Odczytywanie podstawowych właściwości definicji ról
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Odczytywanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/appRoleAssignments/read Odczytywanie przypisań ról przypisanych do jednostek usługi
microsoft.directory/servicePrincipals/standard/read Odczytywanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/memberOf/read Odczytywanie członkostwa w grupach w jednostkach usługi
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla jednostek usługi
microsoft.directory/servicePrincipals/owner/read Odczytywanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/ownedObjects/read Odczytywanie obiektów jednostek usługi
microsoft.directory/servicePrincipals/policies/read Odczytywanie zasad jednostek usługi
microsoft.directory/subscribedSkus/standard/read Odczytywanie podstawowych właściwości subskrypcji
microsoft.directory/users/standard/read Odczytywanie podstawowych właściwości użytkowników
microsoft.directory/users/appRoleAssignments/read Odczytywanie przypisań ról aplikacji dla użytkowników
microsoft.directory/users/deviceForResourceAccount/read Odczyt deviceForResourceAccount użytkowników
microsoft.directory/users/directReports/read Odczytywanie bezpośrednich raportów dla użytkowników
microsoft.directory/users/licenseDetails/read Przeczytaj szczegóły licencji użytkowników
microsoft.directory/users/manager/read Menedżer odczytu użytkowników
microsoft.directory/users/memberOf/read Odczytywanie członkostwa w grupach użytkowników
microsoft.directory/users/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla użytkowników
microsoft.directory/users/ownedDevices/read Urządzenia należące do odczytu użytkowników
microsoft.directory/users/ownedObjects/read Odczytywanie obiektów użytkowników
microsoft.directory/users/photo/read Przeczytaj zdjęcie użytkowników
microsoft.directory/users/registeredDevices/read Odczytywanie zarejestrowanych urządzeń użytkowników
microsoft.directory/users/scopedRoleMemberOf/read Przeczytaj członkostwo użytkownika w roli Azure AD, która jest ograniczona do jednostki administracyjnej

Konta synchronizacji katalogów

Nie używaj. Ta rola jest automatycznie przypisywana do usługi Azure AD Connect i nie jest przeznaczona ani obsługiwana w przypadku innych zastosowań.

Akcje Opis
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuwanie wszystkich typów aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w Azure AD
microsoft.directory/organization/dirSync/update Aktualizowanie właściwości synchronizacji katalogów organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w Azure AD
microsoft.directory/policies/create Tworzenie zasad w Azure AD
microsoft.directory/policies/delete Usuwanie zasad w Azure AD
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/policies/owner/read Przeczytaj właścicieli zasad
microsoft.directory/policies/policyAppliedTo/read Odczyt właściwości policies.policyAppliedTo
microsoft.directory/policies/basic/update Aktualizowanie podstawowych właściwości zasad
microsoft.directory/policies/owner/update Aktualizowanie właścicieli zasad
microsoft.directory/policies/tenantDefault/update Aktualizowanie domyślnych zasad organizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Odczytywanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/appRoleAssignments/read Odczytywanie przypisań ról przypisanych do jednostek usługi
microsoft.directory/servicePrincipals/standard/read Odczytywanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/memberOf/read Odczytywanie członkostwa w grupach w jednostkach usługi
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla jednostek usługi
microsoft.directory/servicePrincipals/owner/read Odczytywanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/ownedObjects/read Odczytywanie obiektów jednostek usługi
microsoft.directory/servicePrincipals/policies/read Odczytywanie zasad jednostek usługi
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owner/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi

Autorzy katalogów

Użytkownicy tej roli mogą odczytywać i aktualizować podstawowe informacje o użytkownikach, grupach i jednostkach usługi. Przypisz tę rolę tylko do aplikacji, które nie obsługują struktury wyrażania zgody. Nie należy jej przypisywać do żadnych użytkowników.

Akcje Opis
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup możliwych do przypisania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Zaktualizuj grupy usługi Azure Active Directory, aby zostały zapisane ponownie w środowisku lokalnym za pomocą programu Azure AD Connect
microsoft.directory/groups/owners/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groupSettings/create Tworzenie ustawień grupy
microsoft.directory/groupSettings/delete Usuwanie ustawień grupy
microsoft.directory/groupSettings/basic/update Aktualizowanie podstawowych właściwości ustawień grupy
microsoft.directory/oAuth2PermissionGrants/create Tworzenie dotacji uprawnień protokołu OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Aktualizacja uprawnień protokołu OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodawanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się przez unieważnienie tokenów odświeżania użytkownika
microsoft.directory/users/inviteGuest Zapraszanie gości
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników

Administrator nazwy domeny

Użytkownicy z tą rolą mogą zarządzać nazwami domen (odczytywać, dodawać, weryfikować, aktualizować i usuwać). Mogą również odczytywać informacje o katalogu o użytkownikach, grupach i aplikacjach, ponieważ te obiekty posiadają zależności domeny. W przypadku środowisk lokalnych użytkownicy z tą rolą mogą konfigurować nazwy domen dla federacji, aby skojarzeni użytkownicy zawsze uwierzytelniani lokalnie. Ci użytkownicy mogą następnie logować się do usług opartych na Azure AD przy użyciu haseł lokalnych za pośrednictwem logowania jednokrotnego. Ustawienia federacji muszą być synchronizowane za pośrednictwem programu Azure AD Connect, dlatego użytkownicy mają również uprawnienia do zarządzania programem Azure AD Connect.

Akcje Opis
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Dynamics 365 Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Dynamics 365 Online, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Więcej informacji znajduje się w sekcji Use the service admin role to manage your Azure AD organization (Zarządzanie organizacją Azure AD przy użyciu roli administratora usługi).

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "Administrator usługi Dynamics 365". Jest to "Administrator usługi Dynamics 365" w Azure Portal.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Edge Administrator

Użytkownicy w tej roli mogą tworzyć listę witryn przedsiębiorstwa wymaganą dla trybu programu Internet Explorer w przeglądarce Microsoft Edge i zarządzać nią. Ta rola udziela uprawnień do tworzenia, edytowania i publikowania listy witryn, a ponadto umożliwia dostęp do zarządzania biletami pomocy technicznej. Dowiedz się więcej

Akcje Opis
microsoft.edge/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator programu Exchange

Użytkownicy z tą rolą mają uprawnienia globalne w Microsoft Exchange Online, gdy usługa jest obecna. Ponadto ma możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Więcej informacji znajduje się w sekcji Informacje o rolach administratora platformy Microsoft 365.

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "Administrator usługi Exchange". Jest to "Administrator programu Exchange" w Azure Portal. Jest to "administrator Exchange Online" w centrum administracyjnym programu Exchange.

Akcje Opis
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup możliwych do przypisania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup możliwych do przypisania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owners/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.exchange/allEntities/basic/allTasks Zarządzanie wszystkimi aspektami Exchange Online
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator adresata programu Exchange

Użytkownicy z tą rolą mają dostęp do odczytu do adresatów i dostęp do zapisu do atrybutów tych adresatów w Exchange Online. Więcej informacji można znaleźć na stronie Adresaci programu Exchange.

Akcje Opis
microsoft.office365.exchange/allRecipients/allProperties/allTasks Tworzenie i usuwanie wszystkich adresatów oraz odczytywanie i aktualizowanie wszystkich właściwości adresatów w Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Zarządzanie wszystkimi zadaniami związanymi z migracją adresatów w Exchange Online

Administrator przepływu użytkownika identyfikatora zewnętrznego

Użytkownicy z tą rolą mogą tworzyć przepływy użytkowników (nazywane również "wbudowanymi" zasadami) i zarządzać nimi w Azure Portal. Ci użytkownicy mogą dostosowywać zawartość HTML/CSS/JavaScript, zmieniać wymagania uwierzytelniania wieloskładnikowego, wybierać oświadczenia w tokenie, zarządzać łącznikami interfejsu API i ich poświadczeniami oraz konfigurować ustawienia sesji dla wszystkich przepływów użytkowników w organizacji Azure AD. Z drugiej strony ta rola nie obejmuje możliwości przeglądania danych użytkownika ani wprowadzania zmian w atrybutach uwzględnionych w schemacie organizacji. Zmiany zasad struktury zarządzania tożsamościami (nazywane również zasadami niestandardowymi) wykraczają poza zakres tej roli.

Akcje Opis
microsoft.directory/b2cUserFlow/allProperties/allTasks Odczytywanie i konfigurowanie przepływu użytkownika w usłudze Azure Active Directory B2C

Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego

Użytkownicy z tą rolą dodają lub usuń atrybuty niestandardowe dostępne dla wszystkich przepływów użytkowników w organizacji Azure AD. W związku z tym użytkownicy z tą rolą mogą zmieniać lub dodawać nowe elementy do schematu użytkownika końcowego i wpływać na zachowanie wszystkich przepływów użytkownika i pośrednio spowodować zmiany danych, które mogą zostać poproszeni o użytkowników końcowych i ostatecznie wysłane jako oświadczenia do aplikacji. Ta rola nie może edytować przepływów użytkownika.

Akcje Opis
microsoft.directory/b2cUserAttribute/allProperties/allTasks Odczytywanie i konfigurowanie atrybutu użytkownika w usłudze Azure Active Directory B2C

Administrator zewnętrznego dostawcy tożsamości

Ten administrator zarządza federacją między Azure AD organizacjami i zewnętrznymi dostawcami tożsamości. Dzięki tej roli użytkownicy mogą dodawać nowych dostawców tożsamości i konfigurować wszystkie dostępne ustawienia (np. ścieżka uwierzytelniania, identyfikator usługi, przypisane kontenery kluczy). Ten użytkownik może umożliwić organizacji Azure AD zaufanie uwierzytelniania od zewnętrznych dostawców tożsamości. Wynikowy wpływ na środowiska użytkownika końcowego zależy od typu organizacji:

  • Azure AD organizacji dla pracowników i partnerów: dodanie federacji (np. z Gmailem) natychmiast wpłynie na wszystkie zaproszenia gościa, które nie zostały jeszcze zrealizowane. Zobacz Dodawanie google jako dostawcy tożsamości dla użytkowników-gości B2B.
  • Organizacje usługi Azure Active Directory B2C: dodanie federacji (na przykład z usługą Facebook lub inną organizacją Azure AD) nie ma natychmiastowego wpływu na przepływy użytkowników końcowych do momentu dodania dostawcy tożsamości jako opcji w przepływie użytkownika (nazywanej również wbudowanymi zasadami). Zobacz przykład Konfigurowanie konta Microsoft jako dostawcy tożsamości . Aby zmienić przepływy użytkowników, wymagana jest ograniczona rola "Administrator przepływu użytkowników B2C".
Akcje Opis
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
microsoft.directory/identityProviders/allProperties/allTasks Odczytywanie i konfigurowanie dostawców tożsamości w usłudze Azure Active Directory B2C

Administrator globalny

Użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Azure Active Directory, a także do usług korzystających z tożsamości usługi Azure Active Directory, takich jak portal Microsoft 365 Defender, portal zgodności Microsoft Purview, Exchange Online, SharePoint Online i Skype dla firm Online. Ponadto administratorzy globalni mogą podnieść swój poziom dostępu , aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Dzięki temu administratorzy globalni mogą uzyskać pełny dostęp do wszystkich zasobów platformy Azure przy użyciu odpowiedniej dzierżawy Azure AD. Osoba, która zarejestruje się w organizacji Azure AD staje się administratorem globalnym. W firmie może istnieć więcej niż jeden administrator globalny. Administratorzy globalni mogą zresetować hasło dla dowolnego użytkownika i wszystkich innych administratorów.

Uwaga

Najlepszym rozwiązaniem jest przypisanie roli administratora globalnego do mniej niż pięciu osób w organizacji. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ról Azure AD.

Akcje Opis
microsoft.directory/accessReviews/allProperties/allTasks (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks Zarządzanie przeglądami dostępu wszystkich zasobów możliwych do przejrzenia w Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Tworzenie jednostek administracyjnych (w tym członków) i zarządzanie nimi
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych w Azure AD
microsoft.directory/applications/allProperties/allTasks Tworzenie i usuwanie aplikacji oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/applications/synchronization/standard/read Ustawienia aprowizacji odczytu skojarzone z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/users/authenticationMethods/create Tworzenie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/standard/read Odczytywanie standardowych właściwości metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
microsoft.directory/authorizationPolicy/allProperties/allTasks Zarządzanie wszystkimi aspektami zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Microsoft Defender for Cloud Apps
microsoft.directory/connector/create Tworzenie łączników serwera proxy aplikacji
microsoft.directory/connector/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/create Tworzenie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/delete Usuwanie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/update Aktualizowanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/contacts/allProperties/allTasks Tworzenie i usuwanie kontaktów oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/contracts/allProperties/allTasks Tworzenie i usuwanie kontraktów partnerskich oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi
microsoft.directory/deletedItems/delete Trwałe usuwanie obiektów, których nie można już przywrócić
microsoft.directory/deletedItems/restore Przywracanie nietrwałych usuniętych obiektów do stanu oryginalnego
microsoft.directory/devices/allProperties/allTasks Tworzenie i usuwanie urządzeń oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Przeczytaj podstawowe właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji zarządzania urządzeniami
microsoft.directory/deviceManagementPolicies/basic/update Aktualizowanie podstawowych właściwości zasad aplikacji zarządzania urządzeniami
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizowanie podstawowych właściwości zasad rejestracji urządzeń
microsoft.directory/directoryRoles/allProperties/allTasks Tworzenie i usuwanie ról katalogu oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Tworzenie i usuwanie szablonów ról Azure AD oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Azure AD zarządzania upoważnieniami
microsoft.directory/groups/allProperties/allTasks Tworzenie i usuwanie grup oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupsAssignableToRoles/create Tworzenie grup z możliwością przypisania do roli
microsoft.directory/groupsAssignableToRoles/delete Usuwanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/restore Przywracanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizowanie grup z możliwością przypisywania ról
microsoft.directory/groupSettings/allProperties/allTasks Tworzenie i usuwanie ustawień grupy oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupSettingTemplates/allProperties/allTasks Tworzenie i usuwanie szablonów ustawień grupy oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w Azure AD
microsoft.directory/identityProtection/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Tworzenie i usuwanie identyfikatora loginTenantBranding oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/organization/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w Azure AD
microsoft.directory/policies/allProperties/allTasks Tworzenie i usuwanie zasad oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Zarządzanie wszystkimi właściwościami zasad dostępu warunkowego
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizowanie podstawowych ustawień zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizowanie ustawień współpracy B2B Azure AD domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualizowanie ustawień połączenia bezpośredniego B2B Azure AD domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania między chmurami w usłudze Teams domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/delete Usuwanie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizowanie ustawień współpracy B2B Azure AD zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualizowanie ustawień połączenia bezpośredniego B2B Azure AD zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy zasad dostępu między dzierżawami dla partnerów
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie zakresówRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/serviceAction/activateService Może wykonać akcję "aktywuj usługę" dla usługi
microsoft.directory/serviceAction/disableDirectoryFeature Może wykonać akcję usługi "wyłącz funkcję katalogu"
microsoft.directory/serviceAction/enableDirectoryFeature Może wykonać akcję usługi "włącz funkcję katalogu"
microsoft.directory/serviceAction/getAvailableExtentionProperties Może wykonać akcję usługi getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Tworzenie i usuwanie jednostek usługi oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udzielanie zgody na wszelkie uprawnienia do dowolnej aplikacji
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.directory/subscribedSkus/allProperties/allTasks Kupowanie subskrypcji i usuwanie subskrypcji i zarządzanie nimi
microsoft.directory/users/allProperties/allTasks Tworzenie i usuwanie użytkowników oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/permissionGrantPolicies/create Tworzenie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/delete Usuwanie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/standard/read Odczytywanie standardowych właściwości zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/basic/update Aktualizowanie podstawowych właściwości zasad udzielania uprawnień
microsoft.directory/servicePrincipalCreationPolicies/create Tworzenie zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/delete Usuwanie zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/standard/read Odczytywanie standardowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualizowanie podstawowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/tenantManagement/tenants/create Tworzenie nowych dzierżaw w usłudze Azure Active Directory
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odwoływanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/create Tworzenie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizowanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/create Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/delete Usuń konfigurację wymaganą do utworzenia poświadczeń możliwych do zweryfikowania i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Konfiguracja aktualizacji wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Zarządzanie wszystkimi aspektami przepływów pracy i zadań cyklu życia w Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami rozliczeń Office 365
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge
microsoft.flow/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate
microsoft.insights/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami aplikacji Insights
microsoft.intune/allEntities/allTasks Zarządzanie wszystkimi aspektami Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Zarządzanie wszystkimi aspektami Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Zarządzanie wszystkimi aspektami Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Odczytywanie raportów analitycznych dotyczących zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Zarządzanie źródłami szkoleniowymi i wszystkimi ich właściwościami w aplikacji Szkoleniowej.
microsoft.office365.lockbox/allEntities/allTasks Zarządzanie wszystkimi aspektami blokady klienta
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami centrów zabezpieczeń i zgodności
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w centrum zabezpieczeń Office 365 Security & Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.userCommunication/allEntities/allTasks Odczytywanie i aktualizowanie nowych komunikatów
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami usługi Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami zarządzania uprawnieniami entra
microsoft.powerApps/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power BI
microsoft.teams/allEntities/allProperties/allTasks Zarządzanie wszystkimi zasobami w usłudze Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Zarządzanie informacjami i metrykami wizyt wirtualnych z centrów administracyjnych lub aplikacji Wirtualne wizyty
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami Ochrona punktu końcowego w usłudze Microsoft Defender
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update Service

Czytelnik globalny

Użytkownicy tej roli mogą odczytywać ustawienia i informacje administracyjne w usługach platformy Microsoft 365, ale nie mogą podejmować działań związanych z zarządzaniem. Czytelnik globalny to odpowiednik administratora globalnego tylko do odczytu. Przypisz czytelnika globalnego zamiast administratora globalnego do planowania, inspekcji lub badań. Użyj czytelnika globalnego w połączeniu z innymi ograniczonymi rolami administratora, takimi jak Administrator programu Exchange, aby ułatwić pracę bez przypisywania roli administratora globalnego. Czytelnik globalny współpracuje z Centrum administracyjne platformy Microsoft 365, centrum administracyjnym programu Exchange, centrum administracyjnym programu SharePoint, centrum administracyjnego usługi Teams, centrum zabezpieczeń, centrum zgodności, centrum administracyjnego Azure AD i centrum administracyjnego Zarządzanie urządzeniami.

Uwaga

Rola czytelnika globalnego ma teraz kilka ograniczeń —

Te funkcje są obecnie opracowywane.

Akcje Opis
microsoft.directory/accessReviews/allProperties/read (Przestarzałe) Odczytywanie wszystkich właściwości przeglądów dostępu
microsoft.directory/accessReviews/definitions/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu wszystkich zasobów możliwych do przejrzenia w Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/read Przeczytaj wszystkie właściwości zasad żądania zgody administratora w Azure AD
microsoft.directory/administrativeUnits/allProperties/read Odczytywanie wszystkich właściwości jednostek administracyjnych, w tym elementów członkowskich
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych w Azure AD
microsoft.directory/applications/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) we wszystkich typach aplikacji
microsoft.directory/applications/synchronization/standard/read Ustawienia aprowizacji odczytu skojarzone z obiektem aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/users/authenticationMethods/standard/restrictedRead Odczytywanie standardowych właściwości metod uwierzytelniania, które nie zawierają informacji osobowych dla użytkowników
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/cloudAppSecurity/allProperties/read Odczytywanie wszystkich właściwości usługi Defender for Cloud Apps
microsoft.directory/connector/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/contacts/allProperties/read Odczytywanie wszystkich właściwości kontaktów
microsoft.directory/customAuthenticationExtensions/allProperties/read Odczytywanie niestandardowych rozszerzeń uwierzytelniania
microsoft.directory/devices/allProperties/read Odczytywanie wszystkich właściwości urządzenia
microsoft.directory/directoryRoles/allProperties/read Odczytywanie wszystkich właściwości ról katalogu
microsoft.directory/directoryRoleTemplates/allProperties/read Odczytywanie wszystkich właściwości szablonów ról katalogu
microsoft.directory/domains/allProperties/read Odczytywanie wszystkich właściwości domen
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości w zarządzaniu upoważnieniami Azure AD
microsoft.directory/groups/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grupach z możliwością przypisywania ról
microsoft.directory/groupSettings/allProperties/read Odczytywanie wszystkich właściwości ustawień grupy
microsoft.directory/groupSettingTemplates/allProperties/read Odczytywanie wszystkich właściwości szablonów ustawień grupy
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Odczytywanie wszystkich właściwości strony logowania oznaczonego marką organizacji
microsoft.directory/namedLocations/standard/read Przeczytaj podstawowe właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/oAuth2PermissionGrants/allProperties/read Odczytywanie wszystkich właściwości dotacji uprawnień protokołu OAuth 2.0
microsoft.directory/organization/allProperties/read Odczytywanie wszystkich właściwości organizacji
microsoft.directory/permissionGrantPolicies/standard/read Odczytywanie standardowych właściwości zasad udzielania uprawnień
microsoft.directory/policies/allProperties/read Odczytywanie wszystkich właściwości zasad
microsoft.directory/conditionalAccessPolicies/allProperties/read Odczytywanie wszystkich właściwości zasad dostępu warunkowego
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji zarządzania urządzeniami
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/roleAssignments/allProperties/read Odczytywanie wszystkich właściwości przypisań ról
microsoft.directory/roleDefinitions/allProperties/read Odczytywanie wszystkich właściwości definicji ról
microsoft.directory/scopedRoleMemberships/allProperties/read Wyświetlanie elementów członkowskich w jednostkach administracyjnych
microsoft.directory/serviceAction/getAvailableExtentionProperties Może wykonać akcję usługi getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Odczytywanie standardowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.directory/subscribedSkus/allProperties/read Odczytywanie wszystkich właściwości subskrypcji produktów
microsoft.directory/users/allProperties/read Odczytywanie wszystkich właściwości użytkowników
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Odczytywanie wszystkich właściwości przepływów pracy i zadań cyklu życia w Azure AD
microsoft.cloudPC/allEntities/allProperties/read Przeczytaj wszystkie aspekty Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Odczytywanie wszystkich zasobów Office 365 rozliczeń
microsoft.edge/allEntities/allProperties/read Przeczytaj wszystkie aspekty przeglądarki Microsoft Edge
microsoft.insights/allEntities/allProperties/read Przeczytaj wszystkie aspekty Szczegółowe informacje Viva
microsoft.office365.exchange/allEntities/standard/read Odczytywanie wszystkich zasobów Exchange Online
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Odczytywanie wszystkich właściwości w centrach zabezpieczeń i zgodności
microsoft.office365.securityComplianceCenter/allEntities/read Odczytywanie standardowych właściwości w Centrum zabezpieczeń i zgodności platformy Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Przeczytaj wszystkie aspekty usługi Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Przeczytaj wszystkie aspekty zarządzania uprawnieniami entra
microsoft.teams/allEntities/allProperties/read Odczytywanie wszystkich właściwości usługi Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Przeczytaj wszystkie aspekty wizyt wirtualnych
microsoft.windows.updatesDeployments/allEntities/allProperties/read Przeczytaj wszystkie aspekty usługi Windows Update

Administrator grup

Użytkownicy tej roli mogą tworzyć grupy i zarządzać nimi, takie jak nazewnictwo i zasady wygasania. Ważne jest, aby zrozumieć, że przypisanie użytkownika do tej roli daje im możliwość zarządzania wszystkimi grupami w organizacji w różnych obciążeniach, takich jak Teams, SharePoint, Yammer oprócz programu Outlook. Ponadto użytkownik będzie mógł zarządzać różnymi ustawieniami grup w różnych portalach administracyjnych, takich jak centrum administracyjne firmy Microsoft, Azure Portal, a także określone obciążenia, takie jak teams i centra administracyjne programu SharePoint.

Akcje Opis
microsoft.directory/deletedItems.groups/delete Trwałe usuwanie grup, których nie można już przywrócić
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu oryginalnego
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Aktualizowanie grup usługi Azure Active Directory do zapisywania z powrotem do środowiska lokalnego przy użyciu programu Azure AD Connect
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Osoba zapraszana gościa

Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkownika-gościa B2B usługi Azure Active Directory, gdy ustawienie Członkowie mogą zapraszać użytkownika jest ustawione na Nie. Więcej informacji na temat współpracy B2B na stronie Informacje o współpracy Azure AD B2B. Nie zawiera żadnych innych uprawnień.

Akcje Opis
microsoft.directory/users/inviteGuest Zapraszanie gości
microsoft.directory/users/standard/read Odczytywanie podstawowych właściwości użytkowników
microsoft.directory/users/appRoleAssignments/read Odczytywanie przypisań ról aplikacji dla użytkowników
microsoft.directory/users/deviceForResourceAccount/read Odczyt deviceForResourceAccount użytkowników
microsoft.directory/users/directReports/read Odczytywanie bezpośrednich raportów dla użytkowników
microsoft.directory/users/licenseDetails/read Przeczytaj szczegóły licencji użytkowników
microsoft.directory/users/manager/read Menedżer odczytu użytkowników
microsoft.directory/users/memberOf/read Odczytywanie członkostwa w grupach użytkowników
microsoft.directory/users/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla użytkowników
microsoft.directory/users/ownedDevices/read Urządzenia należące do odczytu użytkowników
microsoft.directory/users/ownedObjects/read Odczytywanie obiektów użytkowników
microsoft.directory/users/photo/read Przeczytaj zdjęcie użytkowników
microsoft.directory/users/registeredDevices/read Odczytywanie zarejestrowanych urządzeń użytkowników
microsoft.directory/users/scopedRoleMemberOf/read Przeczytaj członkostwo użytkownika w roli Azure AD, która jest ograniczona do jednostki administracyjnej

Administrator pomocy technicznej

Użytkownicy z tą rolą mogą zmieniać hasła, unieważniać tokeny odświeżania, tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz monitorować kondycję usługi. Unieważnienie tokenu odświeżania wymusza ponowne zalogowanie się użytkownika. Niezależnie od tego, czy administrator pomocy technicznej może zresetować hasło użytkownika i unieważnić tokeny odświeżania, zależy od przypisanej roli użytkownika. Aby uzyskać listę ról, które administrator pomocy technicznej może zresetować i unieważnić tokeny odświeżania, zobacz Kto może resetować hasła.

Ważne

Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza usługą Azure Active Directory. Zmiana hasła użytkownika może oznaczać możliwość założenia tożsamości i uprawnień użytkownika. Przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami aplikacji, których są właścicielami. Te aplikacje mogą mieć uprawnienia uprzywilejowane w Azure AD i gdzie indziej, które nie zostały przyznane administratorom pomocy technicznej. Za pomocą tej ścieżki administrator pomocy technicznej może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupie. Te grupy mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w Azure AD i w innym miejscu.
  • Administratorzy innych usług spoza Azure AD, takich jak Exchange Online, Centrum zabezpieczeń i zgodności pakietu Office oraz systemów zasobów ludzkich.
  • Osoby nieadministracyjne, takie jak kierownictwo, doradca prawny i pracownicy działu kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.

Użytkownicy z tą rolą nie mogą zmieniać poświadczeń ani resetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.

Delegowanie uprawnień administracyjnych przez podzestawy użytkowników i stosowanie zasad do podzestawu użytkowników jest możliwe w przypadku jednostek administracyjnych.

Ta rola była wcześniej nazywana "Administratorem haseł" w Azure Portal. Nazwa "Administrator pomocy technicznej" w Azure AD jest teraz zgodna z jego nazwą w programie Azure AD PowerShell i microsoft interfejs Graph API.

Akcje Opis
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie, unieważniając tokeny odświeżania użytkownika
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator tożsamości hybrydowej

Użytkownicy tej roli mogą tworzyć i wdrażać konfigurację aprowizacji z usługi AD do Azure AD przy użyciu aprowizacji w chmurze, a także zarządzać Azure AD Connect, uwierzytelnianie przekazywane (PTA), synchronizacja skrótów haseł (PHS), bezproblemowe logowanie jedno Sign-On krotne (bezproblemowe logowanie jednokrotne) i ustawienia federacji. Użytkownicy mogą również rozwiązywać problemy z dziennikami i monitorować je przy użyciu tej roli.

Akcje Opis
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuwanie wszystkich typów aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/synchronization/standard/read Ustawienia aprowizacji odczytu skojarzone z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/cloudProvisioning/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich właściwości usługi Azure AD Cloud Provisioning.
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie aplikacji usuniętych nietrwale do stanu pierwotnego
microsoft.directory/domains/allProperties/read Odczytywanie wszystkich właściwości domen
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w Azure AD
microsoft.directory/organization/dirSync/update Aktualizowanie właściwości synchronizacji katalogów organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w Azure AD
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości dla jednostek usługi
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owners/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator ładu tożsamości

Użytkownicy z tą rolą mogą zarządzać Azure AD konfiguracją ładu tożsamości, w tym pakietami dostępu, przeglądami dostępu, wykazami i zasadami, zapewniając, że dostęp jest zatwierdzony i przeglądany, a użytkownicy-goście, którzy nie potrzebują już dostępu, zostaną usunięci.

Akcje Opis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Zarządzanie przeglądami dostępu przypisań ról aplikacji w Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/create Tworzenie przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Usuń przeglądy dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w Azure AD zarządzanie upoważnieniami
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi

Administrator szczegółowych informacji

Użytkownicy w tej roli mogą uzyskać dostęp do pełnego zestawu funkcji administracyjnych w aplikacji Szczegółowe informacje Microsoft Viva. Ta rola ma możliwość odczytywania informacji o katalogu, monitorowania kondycji usługi, biletów pomocy technicznej plików i uzyskiwania dostępu do aspektów ustawień administratora usługi Insights.

Dowiedz się więcej

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.insights/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami aplikacji Insights
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Analityk szczegółowych informacji

Przypisz rolę Analityk szczegółowych informacji użytkownikom, którzy muszą wykonać następujące czynności:

  • Analizowanie danych w aplikacji Szczegółowe informacje Microsoft Viva, ale nie można zarządzać ustawieniami konfiguracji
  • Tworzenie i uruchamianie zapytań oraz zarządzanie nimi
  • Wyświetlanie podstawowych ustawień i raportów w Centrum administracyjne platformy Microsoft 365
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365

Dowiedz się więcej

Akcje Opis
microsoft.insights/queries/allProperties/allTasks Uruchamianie zapytań i zarządzanie nimi w Szczegółowe informacje Viva
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Lider biznesowy szczegółowych informacji

Użytkownicy w tej roli mogą uzyskiwać dostęp do zestawu pulpitów nawigacyjnych i szczegółowych informacji za pośrednictwem aplikacji Szczegółowe informacje Microsoft Viva. Obejmuje to pełny dostęp do wszystkich pulpitów nawigacyjnych oraz prezentowanych szczegółowych informacji i funkcji eksploracji danych. Użytkownicy tej roli nie mają dostępu do ustawień konfiguracji produktu, które są odpowiedzialne za rolę administratora usługi Insights.

Dowiedz się więcej

Akcje Opis
microsoft.insights/reports/allProperties/read Wyświetlanie raportów i pulpitów nawigacyjnych w aplikacji Insights
microsoft.insights/programs/allProperties/update Wdrażanie programów i zarządzanie nimi w aplikacji Insights

Administrator usługi Intune

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Intune Online, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu skojarzenia zasad, a także tworzenia grup i zarządzania nimi. Więcej informacji na stronie Kontrola administracji opartej na rolach (RBAC) z Microsoft Intune.

Ta rola może tworzyć wszystkie grupy zabezpieczeń i zarządzać nimi. Jednak Intune Administrator nie ma uprawnień administratora w grupach pakietu Office. Oznacza to, że administrator nie może zaktualizować właścicieli ani członkostwa wszystkich grup pakietu Office w organizacji. Może jednak zarządzać grupą pakietu Office, która jest tworzona jako część uprawnień użytkownika końcowego. Dlatego każda grupa pakietu Office (nie grupa zabezpieczeń), którą tworzy, powinna być liczone względem limitu przydziału 250.

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "administrator usługi Intune". Jest to "administrator Intune" w Azure Portal.

Akcje Opis
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwałych usuniętych urządzeń do stanu oryginalnego
microsoft.directory/devices/create Tworzenie urządzeń (rejestrowanie w Azure AD)
microsoft.directory/devices/delete Usuwanie urządzeń z Azure AD
microsoft.directory/devices/disable Wyłączanie urządzeń w Azure AD
microsoft.directory/devices/enable Włączanie urządzeń w Azure AD
microsoft.directory/devices/basic/update Aktualizowanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/extensionAttributeSet1/update Aktualizowanie właściwości extensionAttribute1 do właściwości extensionAttribute5 na urządzeniach
microsoft.directory/devices/extensionAttributeSet2/update Aktualizowanie właściwości extensionAttribute6 do właściwości extensionAttribute10 na urządzeniach
microsoft.directory/devices/extensionAttributeSet3/update Zaktualizuj rozszerzenieAttribute11 do właściwości extensionAttribute15 na urządzeniach
microsoft.directory/devices/registeredOwners/update Aktualizowanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/update Aktualizowanie zarejestrowanych użytkowników urządzeń
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji zarządzania urządzeniami
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/visibility/update Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami Windows 365
microsoft.intune/allEntities/allTasks Zarządzanie wszystkimi aspektami Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Kaizala Administrator

Użytkownicy z tą rolą mają uprawnienia globalne do zarządzania ustawieniami w usłudze Microsoft Kaizala, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Ponadto użytkownik może uzyskiwać dostęp do raportów związanych z użyciem usługi & Kaizala przez członków organizacji i raportów biznesowych generowanych przy użyciu akcji Kaizala.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator wiedzy

Użytkownicy tej roli mają pełny dostęp do wszystkich ustawień wiedzy, uczenia się i inteligentnych funkcji w Centrum administracyjne platformy Microsoft 365. Mają ogólną wiedzę na temat pakietu produktów, szczegółów licencjonowania i mają odpowiedzialność za kontrolę dostępu. Administrator wiedzy może tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zasoby szkoleniowe. Ponadto ci użytkownicy mogą tworzyć centra zawartości, monitorować kondycję usługi i tworzyć żądania obsługi.

Akcje Opis
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/createAsOwner Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel.
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Zarządzanie źródłami szkoleniowymi i wszystkimi ich właściwościami w aplikacji Szkoleniowej.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Odczytywanie wszystkich właściwości etykiet poufności w centrach zabezpieczeń i zgodności
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Menedżer wiedzy

Użytkownicy tej roli mogą tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zawartość szkoleniowa. Ci użytkownicy są odpowiedzialni przede wszystkim za jakość i strukturę wiedzy. Ten użytkownik ma pełne prawa do akcji zarządzania tematami w celu potwierdzenia tematu, zatwierdzenia edycji lub usunięcia tematu. Ta rola może również zarządzać taksonomiami w ramach narzędzia do zarządzania magazynami terminów i tworzyć centra zawartości.

Akcje Opis
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/createAsOwner Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel.
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Odczytywanie raportów analitycznych dotyczących zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator licencji

Użytkownicy tej roli mogą dodawać, usuwać i aktualizować przypisania licencji dla użytkowników, grup (przy użyciu licencjonowania opartego na grupach) i zarządzać lokalizacją użycia użytkowników. Rola nie udziela możliwości kupowania subskrypcji ani zarządzania nimi, tworzenia grup ani tworzenia użytkowników poza lokalizacją użycia ani zarządzania nimi. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/usageLocation/update Aktualizowanie lokalizacji użycia użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator przepływów pracy cyklu życia

Przypisz rolę administratora przepływów pracy cyklu życia do użytkowników, którzy muszą wykonać następujące zadania:

  • Tworzenie wszystkich aspektów przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzanie nimi w Azure AD
  • Sprawdzanie wykonywania zaplanowanych przepływów pracy
  • Uruchamianie przebiegów przepływu pracy na żądanie
  • Sprawdzanie dzienników wykonywania przepływu pracy
Akcje Opis
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Zarządzanie wszystkimi aspektami przepływów pracy i zadań cyklu życia w Azure AD

Czytelnik prywatności Centrum wiadomości

Użytkownicy tej roli mogą monitorować wszystkie powiadomienia w Centrum wiadomości, w tym komunikaty o ochronie prywatności danych. Czytelnicy prywatności Centrum wiadomości otrzymują powiadomienia e-mail, w tym powiadomienia dotyczące prywatności danych i mogą anulować subskrypcję przy użyciu preferencji Centrum wiadomości. Tylko administrator globalny i czytelnik prywatności Centrum wiadomości mogą odczytywać komunikaty o ochronie prywatności danych. Ponadto ta rola zawiera możliwość wyświetlania grup, domen i subskrypcji. Ta rola nie ma uprawnień do wyświetlania, tworzenia żądań obsługi ani zarządzania nimi.

Akcje Opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Czytelnik Centrum komunikatów

Użytkownicy tej roli mogą monitorować powiadomienia i porady dotyczące aktualizacji kondycji w Centrum wiadomości dla swojej organizacji w skonfigurowanych usługach, takich jak Exchange, Intune i Microsoft Teams. Czytelnicy Centrum wiadomości otrzymują cotygodniowe skróty wiadomości e-mail postów, aktualizacji i mogą udostępniać wpisy centrum wiadomości w usłudze Microsoft 365. W Azure AD użytkownicy przypisani do tej roli będą mieli dostęp tylko do odczytu w usługach Azure AD, takich jak użytkownicy i grupy. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje Opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Nowoczesny użytkownik handlowy

Nie używaj. Ta rola jest automatycznie przypisywana z obszaru Commerce i nie jest przeznaczona ani obsługiwana w przypadku innych zastosowań. Zobacz szczegóły poniżej.

Rola Użytkownika nowoczesnego handlu zapewnia niektórym użytkownikom uprawnienia dostępu do Centrum administracyjne platformy Microsoft 365 i wyświetlanie wpisów nawigacji po lewej stronie dla strony głównej, rozliczeń i pomocy technicznej. Zawartość dostępna w tych obszarach jest kontrolowana przez role specyficzne dla handlu przypisane do użytkowników w celu zarządzania produktami zakupionymi dla siebie lub organizacji. Może to obejmować zadania, takie jak płacenie rachunków, lub dostęp do kont rozliczeniowych i profilów rozliczeniowych.

Użytkownicy z rolą nowoczesnego użytkownika handlowego zwykle mają uprawnienia administracyjne w innych systemach zakupów firmy Microsoft, ale nie mają ról administratora globalnego ani administratora rozliczeń używanych do uzyskiwania dostępu do centrum administracyjnego.

Kiedy jest przypisana rola użytkownika nowoczesnego handlu?

  • Zakup samoobsługowy w Centrum administracyjne platformy Microsoft 365 — zakup samoobsługowy daje użytkownikom szansę na wypróbowanie nowych produktów poprzez zakup lub zarejestrowanie się na własną rękę. Te produkty są zarządzane w centrum administracyjnym. Użytkownicy, którzy dokonają zakupu samoobsługowego, mają przypisaną rolę w systemie handlowym oraz rolę Użytkownika nowoczesnego handlu, aby mogli zarządzać zakupami w centrum administracyjnym. Administratorzy mogą blokować zakupy samoobsługowe (w przypadku usług Power BI, Power Apps, Power Automate) za pośrednictwem programu PowerShell. Aby uzyskać więcej informacji, zobacz Zakup samoobsługowy — często zadawane pytania.
  • Zakupy z komercyjnej platformy handlowej firmy Microsoft — podobnie jak w przypadku zakupu samoobsługowego, gdy użytkownik kupuje produkt lub usługę z usługi Microsoft AppSource lub Azure Marketplace, rola nowoczesnego użytkownika handlu jest przypisana, jeśli nie ma roli administratora globalnego lub administratora rozliczeń. W niektórych przypadkach użytkownicy mogą być zablokowani przed dokonaniem tych zakupów. Aby uzyskać więcej informacji, zobacz Komercyjna platforma handlowa firmy Microsoft.
  • Propozycje firmy Microsoft — propozycja jest formalną ofertą firmy Microsoft dla twojej organizacji w celu zakupu produktów i usług firmy Microsoft. Gdy osoba, która akceptuje propozycję, nie ma roli administratora globalnego ani administratora rozliczeń w Azure AD, ma przypisaną zarówno rolę specyficzną dla handlu, aby ukończyć propozycję, jak i rolę Użytkownika nowoczesnego handlu w celu uzyskania dostępu do centrum administracyjnego. Gdy uzyskują dostęp do centrum administracyjnego, mogą używać tylko funkcji autoryzowanych przez rolę specyficzną dla handlu.
  • Role specyficzne dla handlu — niektórzy użytkownicy mają przypisane role specyficzne dla handlu. Jeśli użytkownik nie jest administratorem globalnym lub administratorem rozliczeń, otrzymuje rolę Użytkownika nowoczesnego handlu, aby mógł uzyskać dostęp do centrum administracyjnego.

Jeśli rola Użytkownika nowoczesnego handlu nie jest przypisana od użytkownika, utraci dostęp do Centrum administracyjne platformy Microsoft 365. Jeśli zarządzali żadnymi produktami, zarówno dla siebie, jak i dla twojej organizacji, nie będą mogli nimi zarządzać. Może to obejmować przypisywanie licencji, zmienianie form płatności, płacenie rachunków lub inne zadania do zarządzania subskrypcjami.

Akcje Opis
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Zarządzanie wszystkimi aspektami centrum usług licencjonowania zbiorowego
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/basic/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator sieci

Użytkownicy tej roli mogą przeglądać zalecenia dotyczące architektury obwodowej sieci firmy Microsoft, które są oparte na telemetrii sieciowej z lokalizacji użytkowników. Wydajność sieci dla platformy Microsoft 365 opiera się na starannej architekturze obwodowej sieci klienta przedsiębiorstwa, która jest ogólnie specyficzna dla lokalizacji użytkownika. Ta rola umożliwia edytowanie odnalezionych lokalizacji użytkownika i konfiguracji parametrów sieciowych dla tych lokalizacji w celu ułatwienia ulepszonych pomiarów telemetrii i zaleceń dotyczących projektowania

Akcje Opis
microsoft.office365.network/locations/allProperties/allTasks Zarządzanie wszystkimi aspektami lokalizacji sieciowych
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator aplikacji pakietu Office

Użytkownicy tej roli mogą zarządzać ustawieniami chmury aplikacji platformy Microsoft 365. Obejmuje to zarządzanie zasadami w chmurze, samoobsługowe zarządzanie pobieraniem oraz możliwość wyświetlania raportu powiązanego z aplikacjami pakietu Office. Ta rola dodatkowo umożliwia zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi w głównym centrum administracyjnym. Użytkownicy przypisani do tej roli mogą również zarządzać komunikacją nowych funkcji w aplikacjach pakietu Office.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.userCommunication/allEntities/allTasks Odczytywanie i aktualizowanie nowych komunikatów
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Obsługa warstwy Partner1

Nie używaj. Ta rola została wycofana i zostanie usunięta z Azure AD w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.

Ważne

Ta rola może resetować hasła i unieważniać tokeny odświeżania tylko dla innych niż administratorzy. Ta rola nie powinna być używana jako przestarzała i nie będzie już zwracana w interfejsie API.

Akcje Opis
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu oryginalnego
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do stanu oryginalnego
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodawanie użytkowników
microsoft.directory/users/delete Usuwanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie, unieważniając tokeny odświeżania użytkownika
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkownika użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Pomoc techniczna dla partnerów w warstwie 2

Nie używaj. Ta rola została wycofana i zostanie usunięta z Azure AD w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.

Ważne

Ta rola może resetować hasła i unieważniać tokeny odświeżania dla wszystkich administratorów i administratorów (w tym administratorów globalnych). Ta rola nie powinna być używana jako przestarzała i nie będzie już zwracana w interfejsie API.

Akcje Opis
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
microsoft.directory/applications/notes/update Aktualizowanie notatek aplikacji
microsoft.directory/applications/owners/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizacja uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do oryginalnego stanu
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do stanu pierwotnego
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/owners/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/organization/basic/update Aktualizowanie podstawowych właściwości w organizacji
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie właściwości scopedRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/subscribedSkus/standard/read Odczytywanie podstawowych właściwości subskrypcji
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodawanie użytkowników
microsoft.directory/users/delete Usuwanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się przez unieważnienie tokenów odświeżania użytkownika
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator haseł

Użytkownicy z tą rolą mają ograniczoną możliwość zarządzania hasłami. Ta rola nie udziela możliwości zarządzania żądaniami obsługi ani monitorowania kondycji usługi. To, czy administrator haseł może zresetować hasło użytkownika, zależy od przypisanej roli użytkownika. Aby uzyskać listę ról, dla których administrator haseł może zresetować hasła, zobacz Kto może resetować hasła.

Użytkownicy z tą rolą nie mogą zmieniać poświadczeń ani resetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.

Akcje Opis
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator zarządzania uprawnieniami

Przypisz rolę Administrator zarządzania uprawnieniami do użytkowników, którzy muszą wykonać następujące zadania:

  • Zarządzanie wszystkimi aspektami zarządzania uprawnieniami dostępu, gdy usługa jest obecna

Dowiedz się więcej o rolach i zasadach zarządzania uprawnieniami na stronie Wyświetlanie informacji o rolach/zasadach.

Akcje Opis
microsoft.permissionsManagement/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami zarządzania uprawnieniami entra

Power BI Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Power BI, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Więcej informacji znajduje się w sekcji Understanding the Power BI Administrator role (Opis roli administratora usługi Power BI).

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "Administrator usługi Power BI". Jest to "Administrator usługi Power BI" w Azure Portal.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power BI

Power Platform Administrator

Użytkownicy tej roli mogą tworzyć wszystkie aspekty środowisk, usługi Power Apps, przepływów, ochrony przed utratą danych i zarządzać nimi. Ponadto użytkownicy z tą rolą mają możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.flow/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.powerApps/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power Apps

Administrator drukarki

Użytkownicy tej roli mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów.

Akcje Opis
microsoft.azure.print/allEntities/allProperties/allTasks Tworzenie i usuwanie drukarek i łączników oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Print

Technik drukarki

Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać stanem drukarki w rozwiązaniu Microsoft Universal Print. Mogą również odczytywać wszystkie informacje o łączniku. Nie można ustawić uprawnień użytkownika do drukarek i udostępniania drukarek.

Akcje Opis
microsoft.azure.print/connector/allProperties/read Odczytywanie wszystkich właściwości łączników w usłudze Microsoft Print
microsoft.azure.print/printers/allProperties/read Odczytywanie wszystkich właściwości drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/register Rejestrowanie drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/unregister Wyrejestrowywanie drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/basic/update Aktualizowanie podstawowych właściwości drukarek w usłudze Microsoft Print

Administrator uwierzytelniania uprzywilejowanego

Użytkownicy z tą rolą mogą ustawić lub zresetować dowolną metodę uwierzytelniania (w tym hasła) dla dowolnego użytkownika, w tym administratorów globalnych. Administratorzy uwierzytelniania uprzywilejowanego mogą wymusić na użytkownikach ponowne zarejestrowanie się przy użyciu istniejących poświadczeń innych niż hasło (np. MFA lub FIDO) i odwołać polecenie "zapamiętaj uwierzytelnianie wieloskładnikowe na urządzeniu", monitując o uwierzytelnianie wieloskładnikowe podczas następnego logowania wszystkich użytkowników. Administratorzy uwierzytelniania uprzywilejowanego mogą aktualizować poufne atrybuty dla wszystkich użytkowników.

Rola Administrator uwierzytelniania ma uprawnienia do wymuszania ponownej rejestracji i uwierzytelniania wieloskładnikowego dla użytkowników standardowych i użytkowników z niektórymi rolami administratora.

Rola Administrator zasad uwierzytelniania ma uprawnienia do ustawiania zasad metody uwierzytelniania dzierżawy, które określają, które metody każdy użytkownik może zarejestrować i użyć.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metod uwierzytelniania Zarządzanie zasadami ochrony haseł Aktualizowanie atrybutów poufnych
Administrator uwierzytelniania Tak dla niektórych użytkowników (zobacz powyżej) Tak dla niektórych użytkowników (zobacz powyżej) Nie Nie Nie Tak dla niektórych użytkowników (zobacz powyżej)
Administrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie Nie Tak dla wszystkich użytkowników
Administrator zasad uwierzytelniania Nie Nie Tak Tak Tak Nie

Ważne

Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza usługą Azure Active Directory. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami aplikacji, których są właścicielami. Te aplikacje mogą mieć uprawnienia uprzywilejowane w Azure AD i gdzie indziej nie przyznane administratorom uwierzytelniania. Za pomocą tej ścieżki administrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dalej zakładać tożsamość aplikacji uprzywilejowanej, aktualizując poświadczenia dla aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Te grupy mogą udzielać dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w Azure AD i gdzie indziej.
  • Administratorzy innych usług spoza Azure AD, takich jak Exchange Online, Centrum zabezpieczeń i zgodności pakietu Office oraz systemy zasobów ludzkich.
  • Osoby niebędące administratorami, takie jak kierownictwo, doradca prawny i pracownicy działu kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.

Ważne

Ta rola nie może obecnie zarządzać uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym. Te same funkcje można wykonać za pomocą polecenia set-MsolUser Azure AD modułu programu PowerShell.

Akcje Opis
microsoft.directory/users/authenticationMethods/create Tworzenie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/standard/read Odczytywanie standardowych właściwości metod uwierzytelniania dla użytkowników
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do stanu pierwotnego
microsoft.directory/users/delete Usuwanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się przez unieważnienie tokenów odświeżania użytkownika
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator ról uprzywilejowanych

Użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Azure Active Directory, a także w Azure AD Privileged Identity Management. Mogą tworzyć grupy, które można przypisać do ról Azure AD i zarządzać nimi. Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami Privileged Identity Management i jednostkami administracyjnymi.

Ważne

Ta rola umożliwia zarządzanie przypisaniami dla wszystkich ról Azure AD, w tym roli administratora globalnego. Ta rola nie obejmuje żadnych innych uprzywilejowanych możliwości w Azure AD takich jak tworzenie lub aktualizowanie użytkowników. Jednak użytkownicy przypisani do tej roli mogą przyznać sobie lub innym dodatkowym uprawnieniem, przypisując dodatkowe role.

Akcje Opis
microsoft.directory/accessReviews/definitions.applications/allProperties/read Odczytywanie wszystkich właściwości przeglądów dostępu przypisań ról aplikacji w Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań ról Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aktualizowanie wszystkich właściwości przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Tworzenie przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Usuwanie przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról Azure AD
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/administrativeUnits/allProperties/allTasks Tworzenie jednostek administracyjnych (w tym członków) i zarządzanie nimi
microsoft.directory/authorizationPolicy/allProperties/allTasks Zarządzanie wszystkimi aspektami zasad autoryzacji
microsoft.directory/directoryRoles/allProperties/allTasks Tworzenie i usuwanie ról katalogu oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupsAssignableToRoles/create Tworzenie grup z możliwością przypisania do roli
microsoft.directory/groupsAssignableToRoles/delete Usuwanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/restore Przywracanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizowanie grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie zakresówRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udzielanie zgody na wszelkie uprawnienia do dowolnej aplikacji
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Czytelnik raportów

Użytkownicy z tą rolą mogą wyświetlać dane raportowania użycia i pulpit nawigacyjny raportów w Centrum administracyjne platformy Microsoft 365 oraz pakiet kontekstowy wdrożenia w usłudze Power BI. Ponadto rola zapewnia dostęp do wszystkich dzienników logowania, dzienników inspekcji i raportów aktywności w Azure AD i danych zwracanych przez interfejs API raportowania programu Microsoft Graph. Użytkownik przypisany do roli Czytelnik raportów może uzyskiwać dostęp tylko do odpowiednich metryk użycia i wdrażania. Nie mają żadnych uprawnień administratora do konfigurowania ustawień ani uzyskiwania dostępu do centrów administracyjnych specyficznych dla produktu, takich jak Exchange. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje Opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator wyszukiwania

Użytkownicy tej roli mają pełny dostęp do wszystkich funkcji zarządzania usługą Microsoft Search w Centrum administracyjne platformy Microsoft 365. Ponadto ci użytkownicy mogą wyświetlać centrum komunikatów, monitorować kondycję usługi i tworzyć żądania obsługi.

Akcje Opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Edytor wyszukiwania

Użytkownicy tej roli mogą tworzyć, zarządzać i usuwać zawartość usługi Microsoft Search w Centrum administracyjne platformy Microsoft 365, w tym zakładki, Q&As i lokalizacje.

Akcje Opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator zabezpieczeń

Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zabezpieczeniami w portalu Microsoft 365 Defender, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection i Office 365 Security & Compliance Center. Więcej informacji o uprawnieniach Office 365 można znaleźć w temacie Uprawnienia w Centrum zgodności zabezpieczeń&.

W Może to zrobić
Centrum zabezpieczeń platformy Microsoft 365 Monitorowanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365
Zarządzanie zagrożeniami i alertami zabezpieczeń
Wyświetlanie raportów
Centrum ochrony tożsamości Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Ponadto możliwość wykonywania wszystkich operacji programu Identity Protection Center z wyjątkiem resetowania haseł
Privileged Identity Management Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Nie można zarządzać Azure AD przypisań ról lub ustawień
& zabezpieczenia Office 365 Centrum zgodności Zarządzanie zasadami zabezpieczeń
Wyświetlanie, badanie i reagowanie na zagrożenia bezpieczeństwa
Wyświetlanie raportów
Azure Advanced Threat Protection Monitorowanie podejrzanych działań zabezpieczeń i reagowanie na nie
Usługa Microsoft Defender dla punktu końcowego Przypisywanie ról
Zarządzanie grupami maszyn
Konfigurowanie wykrywania zagrożeń punktu końcowego i zautomatyzowanego korygowania
Wyświetlanie, badanie i reagowanie na alerty
Wyświetlanie spisu maszyn/urządzeń
Intune Wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji
Nie można wprowadzić zmian w Intune
Microsoft Defender for Cloud Apps Dodawanie administratorów, dodawanie zasad i ustawień, przekazywanie dzienników i wykonywanie akcji ładu
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Inteligentna blokada Zdefiniuj próg i czas trwania blokad po wystąpieniu zdarzeń logowania zakończonych niepowodzeniem.
Ochrona haseł Skonfiguruj niestandardową listę zakazanych haseł lub lokalną ochronę haseł.
Akcje Opis
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizowanie podstawowych ustawień zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizowanie Azure AD ustawień współpracy B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualizacja Azure AD ustawień połączenia bezpośredniego B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/delete Usuwanie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Zapoznaj się z podstawowymi właściwościami zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizowanie Azure AD ustawień współpracy B2B zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualizowanie ustawień połączenia bezpośredniego B2B Azure AD zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań usługi Teams między chmurami w przypadku zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy zasad dostępu między dzierżawami dla partnerów
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami Azure AD
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Azure AD Identity Protection
microsoft.directory/identityProtection/allProperties/update Aktualizowanie wszystkich zasobów w usłudze Azure AD Identity Protection
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/policies/create Tworzenie zasad w Azure AD
microsoft.directory/policies/delete Usuwanie zasad w Azure AD
microsoft.directory/policies/basic/update Aktualizowanie podstawowych właściwości zasad
microsoft.directory/policies/owners/update Aktualizowanie właścicieli zasad
microsoft.directory/policies/tenantDefault/update Aktualizowanie domyślnych zasad organizacji
microsoft.directory/conditionalAccessPolicies/create Tworzenie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/delete Usuwanie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owners/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "Zastosowano do" dla zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizowanie podstawowych właściwości zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizowanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizowanie dzierżawy domyślnej dla zasad dostępu warunkowego
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.protectionCenter/allEntities/standard/read Odczytywanie standardowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/allEntities/basic/update Aktualizowanie podstawowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących odpowiedzi na symulację ataku i powiązanych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Tworzenie szablonów symulacji ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Operator zabezpieczeń

Użytkownicy z tą rolą mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu dla funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w Centrum zabezpieczeń platformy Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management i Office 365 Security & Compliance Center. Więcej informacji o uprawnieniach Office 365 można znaleźć w temacie Uprawnienia w Centrum zgodności zabezpieczeń&.

W Może to zrobić
Centrum zabezpieczeń platformy Microsoft 365 Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zagrożeń bezpieczeństwa
Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center
Usługa Azure AD Identity Protection Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Ponadto możliwość wykonywania wszystkich operacji usługi Identity Protection Center z wyjątkiem resetowania haseł i konfigurowania wiadomości e-mail z alertami.
Privileged Identity Management Wszystkie uprawnienia roli Czytelnik zabezpieczeń
& zabezpieczenia Office 365 Centrum zgodności Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Usługa Microsoft Defender dla punktu końcowego Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Intune Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Microsoft Defender for Cloud Apps Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Akcje Opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie standardowych właściwości w usłudze Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.advancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.intune/allEntities/read Odczytywanie wszystkich zasobów w Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w centrum zgodności zabezpieczeń & Office 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami Ochrona punktu końcowego w usłudze Microsoft Defender

Czytelnik zabezpieczeń

Użytkownicy z tą rolą mają globalny dostęp tylko do odczytu dla funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w Centrum zabezpieczeń platformy Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management, a także możliwość odczytywania raportów logowania i dzienników inspekcji usługi Azure Active Directory oraz w centrum zgodności zabezpieczeń & Office 365. Więcej informacji o uprawnieniach Office 365 można znaleźć w temacie Uprawnienia w Centrum zgodności zabezpieczeń&.

W Może to zrobić
Centrum zabezpieczeń platformy Microsoft 365 Wyświetlanie zasad związanych z zabezpieczeniami w usługach Microsoft 365
Wyświetlanie zagrożeń bezpieczeństwa i alertów
Wyświetlanie raportów
Centrum ochrony tożsamości Odczytywanie wszystkich raportów zabezpieczeń i informacji o ustawieniach dotyczących funkcji zabezpieczeń
  • Ochrona przed spamem
  • Szyfrowanie
  • Zapobieganie utracie danych
  • Ochrona przed złośliwym oprogramowaniem
  • Zaawansowana ochrona przed zagrożeniami
  • Ochrona przed wyłudzaniem informacji
  • Reguły przepływu poczty
Privileged Identity Management Ma dostęp tylko do odczytu do wszystkich informacji wyświetlanych w Azure AD Privileged Identity Management: zasady i raporty dotyczące przypisań ról Azure AD i przeglądów zabezpieczeń.
Nie można zarejestrować się w celu Azure AD Privileged Identity Management lub wprowadzić w nim żadnych zmian. W portalu Privileged Identity Management lub za pośrednictwem programu PowerShell ktoś z tej roli może aktywować dodatkowe role (na przykład administrator globalny lub administrator ról uprzywilejowanych), jeśli użytkownik kwalifikuje się do nich.
& zabezpieczenia Office 365 Centrum zgodności Wyświetlanie zasad zabezpieczeń
Wyświetlanie i badanie zagrożeń bezpieczeństwa
Wyświetlanie raportów
Usługa Microsoft Defender dla punktu końcowego Wyświetlanie i badanie alertów. Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola czytelnika zabezpieczeń Azure AD, utracą dostęp, dopóki nie zostaną przypisani do Ochrona punktu końcowego w usłudze Microsoft Defender rolę.
Intune wyświetla informacje o użytkownikach, urządzeniach, rejestracji, konfiguracji i aplikacji. Nie może wprowadzać zmian w usłudze Intune.
Microsoft Defender for Cloud Apps Ma uprawnienia do odczytu.
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Akcje Opis
microsoft.directory/accessReviews/definitions/allProperties/read Odczytywanie wszystkich właściwości przeglądów dostępu wszystkich zasobów możliwych do przejrzenia w Azure AD
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji, w tym właściwości uprzywilejowanych
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami Azure AD
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Azure AD Identity Protection
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/policies/owners/read Odczytywanie właścicieli zasad
microsoft.directory/policies/policyAppliedTo/read Odczyt właściwości policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owners/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "Zastosowano do" dla zasad dostępu warunkowego
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości raportów logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read Odczytywanie standardowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Odczytywanie wszystkich właściwości ładunków ataku w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących odpowiedzi na symulację ataku i powiązanych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Odczytywanie wszystkich właściwości szablonów symulacji ataku w symulatorze ataku
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator pomocy technicznej usługi

Użytkownicy z tą rolą mogą tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz wyświetlać pulpit nawigacyjny usługi i centrum komunikatów w Azure Portal i Centrum administracyjne platformy Microsoft 365. Więcej informacji znajduje się w sekcji Informacje o rolach administratora.

Uwaga

Wcześniej ta rola nosiła nazwę "Administrator usługi" w Azure Portal i Centrum administracyjne platformy Microsoft 365. Nazwa tej nazwy została zmieniona na "Administrator pomocy technicznej usługi", aby była zgodna z istniejącą nazwą w programie Microsoft interfejs Graph API i Azure AD PowerShell.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

SharePoint Administrator

Użytkownicy z tą rolą mają uprawnienia globalne w ramach Microsoft Office SharePoint Online, gdy usługa jest obecna, a także możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Więcej informacji znajduje się w sekcji Informacje o rolach administratora.

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "Administrator usługi sharePoint". Jest to "Administrator programu SharePoint" w Azure Portal.

Uwaga

Ta rola udziela również uprawnień o określonym zakresie do interfejs Graph API firmy Microsoft dla Microsoft Intune, umożliwiając zarządzanie i konfigurację zasad związanych z zasobami programu SharePoint i usługi OneDrive.

Akcje Opis
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup możliwych do przypisania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości w grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owner/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator Skype dla firm

Użytkownicy z tą rolą mają uprawnienia globalne w ramach Skype dla firm firmy Microsoft, gdy usługa jest obecna, a także zarządzaj atrybutami użytkownika specyficznymi dla programu Skype w usłudze Azure Active Directory. Ponadto ta rola zapewnia możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi oraz uzyskiwania dostępu do usługi Teams i Skype dla firm centrum administracyjnego. Konto musi być również licencjonowane dla usługi Teams lub nie może uruchamiać poleceń cmdlet programu PowerShell w usłudze Teams. Więcej informacji na temat roli administratora Skype dla firm i informacji o licencjonowaniu usługi Teams na stronie Skype dla firm i licencjonowania dodatku Microsoft Teams

Uwaga

W programie Microsoft interfejs Graph API i Azure AD PowerShell ta rola jest identyfikowana jako "Administrator usługi Lync". Jest to "administrator Skype dla firm" w Azure Portal.

Akcje Opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Teams Administrator

Użytkownicy w tej roli mogą zarządzać wszystkimi aspektami obciążenia usługi Microsoft Teams za pośrednictwem centrum administracyjnego usługi Microsoft Teams & Skype dla firm i odpowiednich modułów programu PowerShell. Obejmuje to między innymi wszystkie narzędzia do zarządzania związane z telefonią, wiadomościami, spotkaniami i samymi zespołami. Ta rola dodatkowo umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości w grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owner/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Zarządzanie wszystkimi zasobami w usłudze Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizowanie podstawowych ustawień zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizowanie ustawień współpracy B2B Azure AD domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualizowanie ustawień połączenia bezpośredniego B2B Azure AD domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania między chmurami w usłudze Teams domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/delete Usuwanie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizowanie ustawień współpracy B2B Azure AD zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualizowanie ustawień połączenia bezpośredniego B2B Azure AD zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy zasad dostępu między dzierżawami dla partnerów

Administrator komunikacji w usłudze Teams

Użytkownicy w tej roli mogą zarządzać aspektami obciążenia usługi Microsoft Teams powiązanymi z telefonią głosową & . Obejmuje to narzędzia do zarządzania do przypisywania numerów telefonów, zasad głosowych i spotkań oraz pełny dostęp do zestawu narzędzi analizy połączeń.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/allProperties/read Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD)
microsoft.teams/meeting/allProperties/allTasks Zarządzanie spotkaniami, w tym zasadami spotkań, konfiguracjami i mostkami konferencji
microsoft.teams/voice/allProperties/allTasks Zarządzanie połączeniami głosowymi, w tym zasadami połączeń i spisem numerów telefonów oraz przypisaniem

Inżynier pomocy technicznej aplikacji Teams Communications

Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w usłudze Microsoft Teams & Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams & Skype dla firm. Użytkownicy w tej roli mogą wyświetlać pełne informacje o rekordzie wywołań dla wszystkich zaangażowanych uczestników. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/allProperties/read Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD)

Specjalista ds. pomocy technicznej aplikacji Teams Communications

Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w usłudze Microsoft Teams & Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams & Skype dla firm. Użytkownicy w tej roli mogą wyświetlać tylko szczegóły użytkownika w wywołaniu dla określonego użytkownika, którego szukali. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje Opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/standard/read Odczytywanie podstawowych danych na pulpicie nawigacyjnym jakości wywołań (CQD)

Administrator urządzeń usługi Teams

Użytkownicy z tą rolą mogą zarządzać urządzeniami certyfikowanymi przez usługę Teams z poziomu centrum administracyjnego usługi Teams. Ta rola umożliwia wyświetlanie wszystkich urządzeń na pierwszy rzut oka z możliwością wyszukiwania i filtrowania urządzeń. Użytkownik może sprawdzić szczegóły każdego urządzenia, w tym zalogowane konto, zrobić i model urządzenia. Użytkownik może zmienić ustawienia na urządzeniu i zaktualizować wersje oprogramowania. Ta rola nie udziela uprawnień do sprawdzania aktywności usługi Teams i jakości wywołań urządzenia.

Akcje Opis
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/devices/standard/read Zarządzanie wszystkimi aspektami urządzeń certyfikowanych przez usługę Teams, w tym zasadami konfiguracji

Czytelnik raportów podsumowania użycia

Użytkownicy z tą rolą mogą uzyskiwać dostęp do zagregowanych danych na poziomie dzierżawy i skojarzonych szczegółowych informacji w Centrum administracyjne platformy Microsoft 365 dla wskaźnika użycia i produktywności, ale nie mogą uzyskać dostępu do żadnych szczegółów lub szczegółowych informacji na poziomie użytkownika. W Centrum administracyjne platformy Microsoft 365 dla tych dwóch raportów rozróżniamy dane zagregowane na poziomie dzierżawy i szczegóły poziomu użytkownika. Ta rola zapewnia dodatkową warstwę ochrony poszczególnych danych umożliwiających zidentyfikowanie użytkownika, które zostały żądane zarówno przez klientów, jak i zespoły prawne.

Akcje Opis
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Odczytywanie zagregowanych raportów użycia na poziomie dzierżawy Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator użytkowników

Użytkownicy z tą rolą mogą tworzyć użytkowników i zarządzać wszystkimi aspektami użytkowników z pewnymi ograniczeniami (zobacz tabelę) i mogą aktualizować zasady wygasania haseł. Ponadto użytkownicy z tą rolą mogą tworzyć wszystkie grupy i zarządzać nimi. Ta rola obejmuje również możliwość tworzenia widoków użytkowników i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Administratorzy użytkowników nie mają uprawnień do zarządzania niektórymi właściwościami użytkowników w większości ról administratora. Administratorzy z tą rolą nie mają uprawnień do zarządzania usługą MFA ani zarządzania udostępnionymi skrzynkami pocztowymi. Role, które są wyjątkami od tego ograniczenia, są wymienione w poniższej tabeli.

Uprawnienia administratora użytkowników Uwagi
Tworzenie użytkowników i grup
Tworzenie widoków użytkowników i zarządzanie nimi
Zarządzanie biletami pomocy technicznej pakietu Office
Aktualizowanie zasad wygasania haseł
Zarządzanie licencjami
Zarządzanie wszystkimi właściwościami użytkownika z wyjątkiem głównej nazwy użytkownika
Dotyczy wszystkich użytkowników, w tym wszystkich administratorów
Usuwanie i przywracanie
Wyłączanie i włączanie
Zarządzanie wszystkimi właściwościami użytkownika, w tym główną nazwą użytkownika
Aktualizowanie kluczy urządzeń (FIDO)
Dotyczy użytkowników niebędących administratorami lub w dowolnej z następujących ról:
  • Administrator pomocy technicznej
  • Użytkownik bez roli
  • Administrator użytkowników
Unieważnianie tokenów odświeżania
Resetowanie hasła
Aby uzyskać listę ról, które administrator użytkowników może zresetować i unieważnić tokeny odświeżania, zobacz Kto może resetować hasła.
Aktualizowanie atrybutów poufnych Aby uzyskać listę ról, dla których administrator użytkowników może zaktualizować poufne atrybuty, zobacz Kto może aktualizować poufne atrybuty.

Ważne

Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza usługą Azure Active Directory. Zmiana hasła użytkownika może oznaczać możliwość założenia tożsamości i uprawnień użytkownika. Przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami aplikacji, których są właścicielami. Te aplikacje mogą mieć uprawnienia uprzywilejowane w Azure AD i w innym miejscu, które nie zostały przyznane administratorom użytkowników. W tej ścieżce administrator użytkowników może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupie. Te grupy mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w Azure AD i w innym miejscu.
  • Administratorzy innych usług spoza Azure AD, takich jak Exchange Online, Centrum zabezpieczeń i zgodności pakietu Office oraz systemów zasobów ludzkich.
  • Osoby nieadministracyjne, takie jak kierownictwo, doradca prawny i pracownicy działu kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.

Użytkownicy z tą rolą nie mogą zmieniać poświadczeń ani resetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.

Akcje Opis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Zarządzanie przeglądami dostępu przypisań ról aplikacji w Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dla przypisań ról Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami
microsoft.directory/accessReviews/definitions.groups/allProperties/update Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/create Tworzenie przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Usuń przeglądy dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu oryginalnego
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do stanu oryginalnego
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Azure AD zarządzania upoważnieniami
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Aktualizowanie grup usługi Azure Active Directory do zapisywania z powrotem do środowiska lokalnego przy użyciu programu Azure AD Connect
microsoft.directory/groups/owners/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodawanie użytkowników
microsoft.directory/users/delete Usuwanie użytkowników
microsoft.directory/users/disable Wyłączanie użytkowników
microsoft.directory/users/enable Włączanie użytkowników
microsoft.directory/users/inviteGuest Zapraszanie gości
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się przez unieważnienie tokenów odświeżania użytkownika
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator wizyt wirtualnych

Użytkownicy z tą rolą mogą wykonywać następujące zadania:

  • Zarządzanie i konfigurowanie wszystkich aspektów wizyt wirtualnych w usłudze Bookings w Centrum administracyjne platformy Microsoft 365 i w łączniku EHR usługi Teams
  • Wyświetlanie raportów użycia dla wizyt wirtualnych w centrum administracyjnym usługi Teams, Centrum administracyjne platformy Microsoft 365 i PowerBI
  • Wyświetlanie funkcji i ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można edytować żadnych ustawień

Wirtualne wizyty to prosty sposób planowania terminów online i wideo dla pracowników i uczestników oraz zarządzania nimi. Na przykład raportowanie użycia może pokazać, jak wysyłanie wiadomości SMS sms przed terminami może zmniejszyć liczbę osób, które nie są wyświetlane w przypadku terminów.

Akcje Opis
microsoft.virtualVisits/allEntities/allProperties/allTasks Zarządzanie i udostępnianie informacji o wirtualnych wizytach i metrykach z centrów administracyjnych lub aplikacji Wirtualne wizyty
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator Windows 365

Użytkownicy z tą rolą mają uprawnienia globalne do Windows 365 zasobów, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi.

Ta rola może tworzyć grupy zabezpieczeń i zarządzać nimi, ale nie ma uprawnień administratora do grup platformy Microsoft 365. Oznacza to, że administratorzy nie mogą aktualizować właścicieli ani członkostw w grupach platformy Microsoft 365 w organizacji. Mogą jednak zarządzać tworzoną przez siebie grupą platformy Microsoft 365, która jest częścią uprawnień użytkownika końcowego. Dlatego każda utworzona grupa platformy Microsoft 365 (a nie grupa zabezpieczeń) jest liczone do limitu przydziału 250.

Przypisz rolę administratora Windows 365 do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie komputerami w chmurze Windows 365 w usłudze Microsoft Endpoint Manager
  • Rejestrowanie urządzeń i zarządzanie nimi w Azure AD, w tym przypisywanie użytkowników i zasad
  • Tworzenie grup zabezpieczeń i zarządzanie nimi, ale nie grupy możliwe do przypisania ról
  • Wyświetlanie podstawowych właściwości w Centrum administracyjne platformy Microsoft 365
  • Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
  • Tworzenie biletów pomocy technicznej i zarządzanie nimi w programie Azure AD i Centrum administracyjne platformy Microsoft 365
Akcje Opis
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwale usuniętych urządzeń do stanu pierwotnego
microsoft.directory/devices/create Tworzenie urządzeń (rejestracja w Azure AD)
microsoft.directory/devices/delete Usuwanie urządzeń z Azure AD
microsoft.directory/devices/disable Wyłączanie urządzeń w Azure AD
microsoft.directory/devices/enable Włączanie urządzeń w Azure AD
microsoft.directory/devices/basic/update Aktualizowanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/extensionAttributeSet1/update Aktualizowanie właściwości extensionAttribute1 do właściwości extensionAttribute5 na urządzeniach
microsoft.directory/devices/extensionAttributeSet2/update Aktualizowanie właściwości extensionAttribute6 do właściwości extensionAttribute10 na urządzeniach
microsoft.directory/devices/extensionAttributeSet3/update Aktualizowanie właściwości extensionAttribute11 do właściwości extensionAttribute15 na urządzeniach
microsoft.directory/devices/registeredOwners/update Aktualizowanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/update Aktualizowanie zarejestrowanych użytkowników urządzeń
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/visibility/update Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji zarządzania urządzeniami
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator wdrażania Windows Update

Użytkownicy tej roli mogą tworzyć wszystkie aspekty wdrożeń Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania Windows Update dla firm. Usługa wdrażania umożliwia użytkownikom definiowanie ustawień dotyczących sposobu wdrażania i sposobu wdrażania aktualizacji oraz określanie, które aktualizacje są oferowane grupom urządzeń w dzierżawie. Umożliwia również użytkownikom monitorowanie postępu aktualizacji.

Akcje Opis
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update Service

Yammer Administrator

Przypisz rolę administratora usługi Yammer do użytkowników, którzy muszą wykonać następujące zadania:

  • Zarządzanie wszystkimi aspektami usługi Yammer
  • Tworzenie i przywracanie Grupy Microsoft 365 oraz zarządzanie nimi, ale nie grupy z możliwością przypisywania ról
  • Wyświetlanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
  • Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
  • Wyświetlanie anonsów w centrum wiadomości, ale nie anonsów zabezpieczeń
  • Wyświetlanie kondycji usług

Dowiedz się więcej

Akcje Opis
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości w grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owner/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości dla wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami usługi Yammer

Jak zrozumieć uprawnienia roli

Schemat uprawnień luźno jest zgodny z formatem REST programu Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Przykład:

microsoft.directory/applications/credentials/update

Element uprawnień Opis
namespace Produkt lub usługa, która uwidacznia zadanie i jest poprzedzana elementem microsoft. Na przykład wszystkie zadania w Azure AD używają microsoft.directory przestrzeni nazw.
jednostka Funkcja logiczna lub składnik uwidoczniony przez usługę w programie Microsoft Graph. Na przykład Azure AD uwidacznia użytkowników i grupy, program OneNote uwidacznia notatki, a program Exchange uwidacznia skrzynki pocztowe i kalendarze. Istnieje specjalne allEntities słowo kluczowe do określania wszystkich jednostek w przestrzeni nazw. Jest to często używane w rolach, które udzielają dostępu do całego produktu.
propertySet Określone właściwości lub aspekty jednostki, dla której udzielono dostępu. Na przykład microsoft.directory/applications/authentication/read umożliwia odczytywanie adresu URL odpowiedzi, wylogowywania adresu URL i niejawnej właściwości przepływu w obiekcie aplikacji w Azure AD.
  • allProperties określa wszystkie właściwości jednostki, w tym właściwości uprzywilejowane.
  • standard wyznacza wspólne właściwości, ale wyklucza uprzywilejowane powiązane z read akcją. Na przykład obejmuje możliwość odczytywania standardowych właściwości, microsoft.directory/user/standard/read takich jak publiczny numer telefonu i adres e-mail, ale nie prywatny pomocniczy numer telefonu lub adres e-mail używany do uwierzytelniania wieloskładnikowego.
  • basic określa wspólne właściwości, ale wyklucza uprzywilejowane powiązane z akcją update . Zestaw właściwości, które można odczytać, może się różnić od tego, co można zaktualizować. Dlatego istnieją standard słowa kluczowe, basic aby to odzwierciedlić.
action Udzielono operacji, najczęściej tworzonej, odczytu, aktualizacji lub usuwania (CRUD). Istnieje specjalne allTasks słowo kluczowe do określania wszystkich powyższych możliwości (tworzenie, odczytywanie, aktualizowanie i usuwanie).

Przestarzałe role

Nie należy używać następujących ról. Zostały one wycofane i zostaną usunięte z Azure AD w przyszłości.

  • Administrator licencji adhoc
  • Dołączanie urządzenia
  • Menedżerowie urządzeń
  • Użytkownicy urządzeń
  • Email zweryfikowany twórca użytkownika
  • Administrator skrzynki pocztowej
  • Dołączanie urządzenia w miejscu pracy

Role nie są wyświetlane w portalu

Nie każda rola zwrócona przez program PowerShell lub interfejs Graph API MS jest widoczna w Azure Portal. Poniższa tabela organizuje te różnice.

Nazwa interfejsu API nazwa Azure Portal Uwagi
Dołączanie urządzenia Przestarzałe Dokumentacja przestarzałych ról
Menedżerowie urządzeń Przestarzałe Dokumentacja przestarzałych ról
Użytkownicy urządzeń Przestarzałe Dokumentacja przestarzałych ról
Konta synchronizacji katalogów Nie pokazano, ponieważ nie należy jej używać Dokumentacja kont synchronizacji katalogów
Użytkownik-gość Nie pokazano, ponieważ nie można jej używać NA
Obsługa warstwy 1 partnera Nie pokazano, ponieważ nie należy jej używać Dokumentacja pomocy technicznej w warstwie Partner1
Pomoc techniczna dla partnerów w warstwie 2 Nie pokazano, ponieważ nie należy jej używać Dokumentacja pomocy technicznej w warstwie Partner2
Ograniczony użytkownik-gość Nie pokazano, ponieważ nie można jej używać NA
Użytkownik Nie pokazano, ponieważ nie można jej używać NA
Dołączanie urządzenia w miejscu pracy Przestarzałe Dokumentacja przestarzałych ról

Kto może resetować hasła

W poniższej tabeli kolumny zawierają listę ról, które mogą resetować hasła. Wiersze zawierają listę ról, dla których można zresetować hasło.

Poniższa tabela dotyczy ról przypisanych w zakresie dzierżawy. W przypadku ról przypisanych w zakresie jednostki administracyjnej obowiązują dalsze ograniczenia.

Rola, którą można zresetować przy użyciu hasła Administracja haseł Administracja pomocy technicznej Uwierzytelnianie Administracja Administracja użytkownika Privileged Auth Administracja Administrator globalny
Uwierzytelnianie Administracja     ✔️   ✔️ ✔️
Czytelnicy katalogów ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrator globalny         ✔️ ✔️*
Grupy Administracja       ✔️ ✔️ ✔️
Osoba zapraszana gościa ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administracja pomocy technicznej   ✔️   ✔️ ✔️ ✔️
Czytelnik Centrum komunikatów   ✔️ ✔️ ✔️ ✔️ ✔️
Administracja haseł ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Privileged Auth Administracja         ✔️ ✔️
Administracja ról uprzywilejowanych         ✔️ ✔️
Czytelnik raportów   ✔️ ✔️ ✔️ ✔️ ✔️
Użytkownik
(brak roli administratora)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Użytkownik
(brak roli administratora, ale członek lub właściciel grupy z możliwością przypisywania ról)
        ✔️ ✔️
Administracja użytkownika       ✔️ ✔️ ✔️
Czytelnik raportów podsumowania użycia   ✔️ ✔️ ✔️ ✔️ ✔️

* Administrator globalny nie może usunąć własnego przypisania administratora globalnego. Zapobiega to sytuacji, w której organizacja ma 0 administratorów globalnych.

Uwaga

Możliwość zresetowania hasła obejmuje możliwość aktualizowania następujących poufnych atrybutów wymaganych do samoobsługowego resetowania hasła:

  • telefony biznesowe
  • telefon komórkowy
  • otherMails

Kto może aktualizować poufne atrybuty

Niektórzy administratorzy mogą zaktualizować następujące poufne atrybuty dla niektórych użytkowników. Wszyscy użytkownicy mogą odczytywać te poufne atrybuty.

  • accountEnabled
  • telefony biznesowe
  • telefon komórkowy
  • onPremisesImmutableId
  • otherMails
  • passwordProfile
  • userPrincipalName

W poniższej tabeli kolumny zawierają listę ról, które mogą aktualizować poufne atrybuty. Wiersze zawierają listę ról, dla których można zaktualizować ich poufne atrybuty.

Poniższa tabela dotyczy ról przypisanych w zakresie dzierżawy. W przypadku ról przypisanych w zakresie jednostki administracyjnej obowiązują dalsze ograniczenia.

Rola, która może aktualizować poufne atrybuty Uwierzytelnianie Administracja Administracja użytkownika Privileged Auth Administracja Administrator globalny
Uwierzytelnianie Administracja ✔️   ✔️ ✔️
Czytelnicy katalogów ✔️ ✔️ ✔️ ✔️
Administrator globalny     ✔️ ✔️
Grupy Administracja   ✔️ ✔️ ✔️
Osoba zapraszana gościa ✔️ ✔️ ✔️ ✔️
Administracja pomocy technicznej   ✔️ ✔️ ✔️
Czytelnik Centrum komunikatów ✔️ ✔️ ✔️ ✔️
Administracja haseł ✔️ ✔️ ✔️ ✔️
Privileged Auth Administracja     ✔️ ✔️
Administracja ról uprzywilejowanych     ✔️ ✔️
Czytelnik raportów ✔️ ✔️ ✔️ ✔️
Użytkownik
(brak roli administratora)
✔️ ✔️ ✔️ ✔️
Użytkownik
(brak roli administratora, ale członek lub właściciel grupy z możliwością przypisywania ról)
    ✔️ ✔️
Administracja użytkownika   ✔️ ✔️ ✔️
Czytelnik raportów podsumowania użycia ✔️ ✔️ ✔️ ✔️

Następne kroki