Wbudowane role usługi Microsoft Entra
Jeśli w usłudze Microsoft Entra ID inny administrator lub inny administrator musi zarządzać zasobami firmy Microsoft Entra, przypiszesz im rolę Entra firmy Microsoft, która zapewnia potrzebne im uprawnienia. Można na przykład przypisać role, aby zezwolić na dodawanie lub zmienianie użytkowników, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników lub zarządzanie nazwami domen.
W tym artykule wymieniono wbudowane role firmy Microsoft Entra, które można przypisać, aby umożliwić zarządzanie zasobami firmy Microsoft Entra. Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról usługi Microsoft Entra do użytkowników. Jeśli szukasz ról do zarządzania zasobami platformy Azure, zobacz Role wbudowane platformy Azure.
Wszystkie role
Rola | opis | Identyfikator szablonu |
---|---|---|
Administrator aplikacji | Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Deweloper aplikacji | Może tworzyć rejestracje aplikacji niezależnie od ustawienia "Użytkownicy mogą rejestrować aplikacje". |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor ładunku ataku | Może tworzyć ładunki ataku, które administrator może zainicjować później. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Administracja istrator symulacji ataków | Może tworzyć wszystkie aspekty kampanii symulacji ataków i zarządzać nimi. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Administracja istrator przypisania atrybutów | Przypisz niestandardowe klucze i wartości atrybutów zabezpieczeń do obsługiwanych obiektów firmy Microsoft Entra. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Czytelnik przypisań atrybutów | Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Administracja istrator definicji atrybutu | Definiowanie definicji niestandardowych atrybutów zabezpieczeń i zarządzanie nimi. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Czytelnik definicji atrybutów | Przeczytaj definicję niestandardowych atrybutów zabezpieczeń. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Administracja istrator dziennika atrybutów | Przeczytaj dzienniki inspekcji i skonfiguruj ustawienia diagnostyczne zdarzeń związanych z niestandardowymi atrybutami zabezpieczeń. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Czytelnik dziennika atrybutów | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Administracja istrator uwierzytelniania | Może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Rozszerzalność uwierzytelniania Administracja istrator | Dostosowywanie środowisk logowania i rejestracji dla użytkowników przez tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Administracja istrator zasad uwierzytelniania | Umożliwia tworzenie zasad metod uwierzytelniania, ustawień uwierzytelniania wieloskładnikowego dla całej dzierżawy, zasad ochrony haseł i weryfikowalnych poświadczeń. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Usługa Azure DevOps Administracja istrator | Może zarządzać zasadami i ustawieniami usługi Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Administracja istrator usługi Azure Information Protection | Może zarządzać wszystkimi aspektami produktu Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
Zestaw kluczy IEF B2C Administracja istrator | Może zarządzać wpisami tajnymi federacji i szyfrowania w programie Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Administracja istrator zasad IEF B2C | Może tworzyć zasady struktury zaufania i zarządzać nimi w programie Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Administrator rozliczeń | Może wykonywać typowe zadania związane z rozliczeniami, takie jak aktualizowanie informacji o płatności. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Administracja istrator usługi Cloud App Security | Może zarządzać wszystkimi aspektami produktu Defender dla Chmury Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Administrator aplikacji w chmurze | Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa (z wyjątkiem serwera proxy aplikacji) oraz zarządzać nimi. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Administracja istrator urządzeń w chmurze | Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Administracja istrator zgodności | Może odczytywać konfigurację zgodności i raporty oraz zarządzać nimi w usłudze Microsoft Entra ID i Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
Administracja istrator danych zgodności | Tworzy zawartość zgodności i zarządza nią. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Administracja istrator dostępu warunkowego | Może zarządzać funkcjami dostępu warunkowego. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Osoba zatwierdzająca dostęp do skrytki klienta | Może zatwierdzić żądania pomocy technicznej firmy Microsoft w celu uzyskania dostępu do danych organizacji klientów. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Administracja istrator usługi Desktop Analytics | Może uzyskiwać dostęp do narzędzi i usług do zarządzania komputerami, a także zarządzać nimi. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Czytelnicy katalogów | Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości. | 88d8e3e3e3-8f55-4a1e-953a-9b9898b8876b |
Konta synchronizacji katalogów | Używane tylko przez usługę Microsoft Entra Połączenie. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
Autorzy katalogów | Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Administracja istrator nazwy domeny | Może zarządzać nazwami domen w chmurze i lokalnie. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365 Administracja istrator | Może zarządzać wszystkimi aspektami produktu Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central Administracja istrator | Uzyskaj dostęp do wszystkich zadań administracyjnych w środowiskach usługi Dynamics 365 Business Central i wykonaj je. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Administracja istrator usługi Edge | Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Administracja istrator programu Exchange | Może zarządzać wszystkimi aspektami produktu Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Administracja istrator adresata programu Exchange | Może tworzyć lub aktualizować adresatów usługi Exchange Online w organizacji usługi Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Przepływ użytkownika identyfikatora zewnętrznego Administracja istrator | Może tworzyć wszystkie aspekty przepływów użytkowników i zarządzać nimi. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Atrybut przepływu użytkownika identyfikatora zewnętrznego Administracja istrator | Może tworzyć schemat atrybutów dostępny dla wszystkich przepływów użytkowników i zarządzać nim. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Dostawca tożsamości zewnętrznej Administracja istrator | Może skonfigurować dostawców tożsamości do użycia w federacji bezpośredniej. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Administracja istrator sieci szkieletowej | Może zarządzać wszystkimi aspektami produktów Fabric i Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Globalny administrator usługi | Może zarządzać wszystkimi aspektami identyfikatora Entra firmy Microsoft i usługi firmy Microsoft, które używają tożsamości Firmy Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Czytelnik globalny | Może odczytać wszystko, co może Administracja istrator globalny, ale nie może nic zaktualizować. |
f2ef992c-3afb-46b9-b7cf-a126eee74c451 |
Globalny Administracja istrator bezpiecznego dostępu | Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi, w tym zarządzanie dostępem do publicznych i prywatnych punktów końcowych. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Administracja istrator grup | Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Osoba zapraszana gościa | Może zapraszać użytkowników-gości niezależnie od ustawienia „członkowie mogą zapraszać gości”. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Pomoc techniczna Administracja istrator | Może resetować hasła dla użytkowników niebędących administratorami i administratorów pomocy technicznej. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Administracja istrator tożsamości hybrydowej | Zarządzanie aprowizowaniem usługi Active Directory w chmurze firmy Microsoft Entra, microsoft Entra Połączenie, uwierzytelnianie przekazywane (PTA), synchronizacja skrótów haseł (PHS), bezproblemowe logowanie jednokrotne (bezproblemowe logowanie jednokrotne) i ustawienia federacji. Nie ma dostępu do zarządzania usługą Microsoft Entra Połączenie Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Zarządzanie tożsamościami Administracja istrator | Zarządzanie dostępem przy użyciu identyfikatora Entra firmy Microsoft na potrzeby scenariuszy zapewniania ładu tożsamości. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Szczegółowe informacje Administracja istrator | Ma dostęp administracyjny w aplikacji microsoft 365 Szczegółowe informacje. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
analityk Szczegółowe informacje | Uzyskaj dostęp do możliwości analitycznych w aplikacji Microsoft Viva Szczegółowe informacje i uruchom zapytania niestandardowe. | 25df335f-86eb-4119-b717-0ff02de207e9 |
lider biznesowy Szczegółowe informacje | Może wyświetlać i udostępniać pulpity nawigacyjne i szczegółowe informacje za pośrednictwem aplikacji platformy Microsoft 365 Szczegółowe informacje. | 31e939ad-9672-4796-9c2e-873181342d2d2d |
Administracja istrator usługi Intune | Może zarządzać wszystkimi aspektami produktu Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala Administracja istrator | Może zarządzać ustawieniami Aplikacja Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Administracja istrator wiedzy | Może konfigurować wiedzę, uczenie się i inne inteligentne funkcje. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Menedżer wiedzy | Umożliwia organizowanie, tworzenie i promowanie tematów i wiedzy oraz zarządzanie nimi. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Administracja istrator licencji | Może zarządzać licencjami produktów dla użytkowników i grup. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Przepływy pracy cyklu życia Administracja istrator | Utwórz wszystkie aspekty przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzaj nimi w identyfikatorze Entra firmy Microsoft. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Czytelnik prywatności Centrum wiadomości | Może odczytywać tylko komunikaty i aktualizacje zabezpieczeń w Centrum wiadomości usługi Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Czytelnik Centrum wiadomości | Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Administracja istrator migracji platformy Microsoft 365 | Wykonaj wszystkie funkcje migracji, aby przeprowadzić migrację zawartości do platformy Microsoft 365 przy użyciu programu Migration Manager. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Lokalny Administracja istrator urządzenia dołączonego do firmy Microsoft | Użytkownicy przypisani do tej roli są dodawani do lokalnej grupy administratorów na urządzeniach dołączonych do firmy Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Administracja istrator gwarancji sprzętu firmy Microsoft | Tworzenie i zarządzanie wszystkimi roszczeniami dotyczącymi gwarancji i uprawnieniami do sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Specjalista od gwarancji sprzętowych firmy Microsoft | Tworzenie i odczytywanie oświadczeń dotyczących gwarancji dotyczących sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Modern Commerce Administracja istrator | Może zarządzać zakupami komercyjnymi dla firmy, działu lub zespołu. | d24aef57-1500-4070-84db-2666f29cf966 |
Administracja istrator sieci | Może zarządzać lokalizacjami sieciowymi i przeglądać szczegółowe informacje dotyczące projektowania sieci przedsiębiorstwa dla aplikacji Microsoft 365 Software as a Service. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Administracja istrator aplikacji pakietu Office | Może zarządzać usługami w chmurze aplikacja pakietu Office, w tym zarządzanie zasadami i ustawieniami oraz zarządzać możliwością wybierania, co nowego i publikowania zawartości funkcji na urządzeniach użytkowników końcowych. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Administracja istrator znakowania organizacyjnego | Zarządzaj wszystkimi aspektami znakowania organizacyjnego w dzierżawie. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Osoba zatwierdzająca komunikaty organizacyjne | Przejrzyj, zatwierdź lub odrzuć nowe komunikaty organizacyjne do dostarczenia w Centrum administracyjne platformy Microsoft 365, zanim zostaną wysłane do użytkowników. | e48398e2-f4bb-4074-8f31-4586725e205b |
Składnik zapisywania komunikatów organizacyjnych | Pisanie, publikowanie i przeglądanie komunikatów organizacyjnych dla użytkowników końcowych za pośrednictwem powierzchni produktów firmy Microsoft oraz zarządzanie nimi. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Pomoc techniczna dla partnerów w warstwie 1 | Nie należy używać — nie jest przeznaczona do użytku ogólnego. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Pomoc techniczna dla partnerów w warstwie 2 | Nie należy używać — nie jest przeznaczona do użytku ogólnego. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Administracja istrator haseł | Może resetować hasła dla administratorów i Administracja istratorów haseł. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Administracja istrator zarządzania uprawnieniami | Zarządzaj wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Administracja istrator platformy Power Platform | Może tworzyć wszystkie aspekty usług Microsoft Dynamics 365, Power Apps i Power Automate oraz zarządzać nimi. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Administracja istrator drukarki | Może zarządzać wszystkimi aspektami drukarek i łączników drukarek. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Technik drukarki | Umożliwia rejestrowanie i wyrejestrowywanie drukarek oraz aktualizowanie stanu drukarki. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Administracja istrator uwierzytelniania uprzywilejowanego | Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Administrator ról uprzywilejowanych | Może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Czytelnik raportów | Może odczytywać raporty logowania i inspekcji. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Administracja istrator wyszukiwania | Może tworzyć wszystkie aspekty ustawień usługi Microsoft Search i zarządzać nimi. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Edytor wyszukiwania | Może tworzyć treści redakcyjne, takie jak zakładki, Q i As, lokalizacje, plan podłogowy i zarządzać nimi. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Administrator zabezpieczeń | Może odczytywać informacje o zabezpieczeniach i raporty oraz zarządzać konfiguracją w usłudze Microsoft Entra ID i Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Operator zabezpieczeń | Tworzy zdarzenia zabezpieczeń i zarządza nimi. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Czytelnik zabezpieczeń | Może odczytywać informacje o zabezpieczeniach i raporty w usłudze Microsoft Entra ID i Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Administracja istrator pomocy technicznej usługi | Może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej. | f023fd81-a637-4b56-95fd-791ac0226033 |
Administracja istrator programu SharePoint | Może zarządzać wszystkimi aspektami usługi SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Administracja istrator usługi SharePoint Embedded | Zarządzaj wszystkimi aspektami kontenerów sharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Skype dla firm Administracja istrator | Może zarządzać wszystkimi aspektami produktu Skype dla firm. | 75941009-915a-4869-abe7-691bff18279e |
Administracja istrator usługi Teams | Może zarządzać usługą Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Administracja istrator komunikacji usługi Teams | Może zarządzać funkcjami połączeń i spotkań w usłudze Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Inżynier pomocy technicznej aplikacji Teams Communications | Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu zaawansowanych narzędzi. | f70938a0-fc10-4177-9e90-2178f8765737 |
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams | Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu podstawowych narzędzi. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Usługa Teams Devices Administracja istrator | Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Twórca dzierżawy | Utwórz nowe dzierżawy usługi Microsoft Entra lub Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Czytelnik raportów podsumowania użycia | Zapoznaj się z raportami użycia i wynikiem wdrożenia, ale nie można uzyskać dostępu do szczegółów użytkownika. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Administracja istrator wizyt wirtualnych | Zarządzaj i udostępniaj informacje o wirtualnych odwiedzinach oraz metryki z centrów administracyjnych lub aplikacji Wirtualne wizyty. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals Administracja istrator | Zarządzanie wszystkimi aspektami celów Microsoft Viva Goals i konfigurowanie ich. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Administracja istrator Viva Pulse | Może zarządzać wszystkimi ustawieniami aplikacji Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365 Administracja istrator | Może aprowizować wszystkie aspekty komputerów w chmurze i zarządzać nimi. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Administracja istrator wdrażania usługi Windows Update | Może tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania windows Update dla firm. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Administracja istrator usługi Yammer | Zarządzanie wszystkimi aspektami usługi Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrator aplikacji
Jest to rola uprzywilejowana. Użytkownicy mający tę rolę mogą tworzyć wszystkie aspekty aplikacji dla przedsiębiorstw, rejestracje aplikacji oraz ustawienia serwera proxy aplikacji oraz nimi zarządzać. Należy pamiętać, że użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji ani aplikacji dla przedsiębiorstw.
Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Azure AD Graph i programu Microsoft Graph.
Ważne
Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład innych aplikacji firmy Microsoft, aplikacji innych firm lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak globalny Administracja istrator.
Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli application Administracja istrator daje im możliwość personifikacji tożsamości aplikacji.
Deweloper aplikacji
Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą tworzyć rejestracje aplikacji, gdy ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość Nie. Ta rola udziela również uprawnień do wyrażania zgody w imieniu użytkownika, gdy ustawienie "Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu", ma wartość Nie. Użytkownicy przypisani do tej roli są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji.
Autor ładunku ataku
Użytkownicy w tej roli mogą tworzyć ładunki ataków, ale nie uruchamiać ani planować ich. Ładunki ataku są następnie dostępne dla wszystkich administratorów w dzierżawie, którzy mogą ich używać do tworzenia symulacji.
Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń |
Administracja istrator symulacji ataków
Użytkownicy w tej roli mogą tworzyć i zarządzać wszystkimi aspektami tworzenia symulacji ataku, uruchamiania/planowania symulacji oraz przeglądu wyników symulacji. Członkowie tej roli mają dostęp do wszystkich symulacji w dzierżawie.
Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Tworzenie szablonów symulacji ataku i zarządzanie nimi w symulatorze ataku |
Administracja istrator przypisania atrybutów
Użytkownicy z tą rolą mogą przypisywać i usuwać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów firmy Microsoft Entra, takich jak użytkownicy, jednostki usługi i urządzenia.
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
microsoft.directory/devices/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/devices/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/users/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
microsoft.directory/users/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
Czytelnik przypisań atrybutów
Użytkownicy z tą rolą mogą odczytywać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra.
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
microsoft.directory/devices/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/users/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
Administracja istrator definicji atrybutu
Użytkownicy z tą rolą mogą zdefiniować prawidłowy zestaw niestandardowych atrybutów zabezpieczeń, które można przypisać do obsługiwanych obiektów Firmy Microsoft Entra. Ta rola może również aktywować i dezaktywować niestandardowe atrybuty zabezpieczeń.
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Zarządzanie wszystkimi aspektami zestawów atrybutów |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń |
Czytelnik definicji atrybutów
Użytkownicy z tą rolą mogą odczytywać definicję niestandardowych atrybutów zabezpieczeń.
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
Administracja istrator dziennika atrybutów
Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń
- Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń
Użytkownicy z tą rolą nie mogą odczytywać dzienników inspekcji dla innych zdarzeń.
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania dzienników inspekcji niestandardowych atrybutów zabezpieczeń. Aby odczytać dzienniki inspekcji niestandardowych atrybutów zabezpieczeń, należy przypisać tę rolę lub rolę Czytelnik dziennika atrybutów.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń |
microsoft.azure.customSecurityAttributeDiagnostic Ustawienia/allEntities/allProperties/allTasks | Konfigurowanie wszystkich aspektów niestandardowych ustawień diagnostycznych atrybutów zabezpieczeń |
Czytelnik dziennika atrybutów
Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń
Użytkownicy z tą rolą nie mogą wykonywać następujących zadań:
- Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji dla innych zdarzeń
Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania dzienników inspekcji niestandardowych atrybutów zabezpieczeń. Aby odczytać dzienniki inspekcji niestandardowych atrybutów zabezpieczeń, należy przypisać tę rolę lub rolę Administracja istratora dziennika atrybutów.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń |
Administrator uwierzytelniania
Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:
- Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla administratorów i niektórych ról. Aby uzyskać listę ról, które Administracja istrator uwierzytelniania może odczytywać lub aktualizować metody uwierzytelniania, zobacz KtoTo może resetować hasła.
- Wymagaj użytkowników, którzy nie są administratorami lub przypisani do niektórych ról, aby ponownie zarejestrować się w istniejących poświadczeniach innych niż hasło (na przykład uwierzytelnianie wieloskładnikowe lub fiDO), a także odwołać zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniu, co powoduje wyświetlenie monitu o uwierzytelnianie wieloskładnikowe podczas następnego logowania.
- Wykonywanie akcji poufnych dla niektórych użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
- Nie można zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym lub sprzętowymi tokenami OATH.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administracja istrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Nie | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administracja istrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie | Nie. | Nie | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administracja istrator zasad uwierzytelniania | Nie | Nie. | Tak | Tak | Tak | Nie. | Nie |
Administrator użytkowników | Nie | Nie. | Nie. | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Ważne
Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom uwierzytelniania. Za pomocą tej ścieżki Administracja istrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Rozszerzalność uwierzytelniania Administracja istrator
Jest to rola uprzywilejowana. Przypisz rolę rozszerzalności uwierzytelniania Administracja istrator do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie wszystkich aspektów niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można przypisać niestandardowych rozszerzeń uwierzytelniania do aplikacji w celu zmodyfikowania środowisk uwierzytelniania i nie może wyrazić zgody na uprawnienia aplikacji ani utworzyć rejestracji aplikacji skojarzonych z niestandardowym rozszerzeniem uwierzytelniania. Zamiast tego należy użyć ról Administracja istratora aplikacji, dewelopera aplikacji lub Administracja istratora aplikacji w chmurze.
Niestandardowe rozszerzenie uwierzytelniania to punkt końcowy interfejsu API utworzony przez dewelopera na potrzeby zdarzeń uwierzytelniania i jest zarejestrowany w identyfikatorze Entra firmy Microsoft. Administratorzy aplikacji i właściciele aplikacji mogą używać niestandardowych rozszerzeń uwierzytelniania do dostosowywania środowisk uwierzytelniania aplikacji, takich jak logowanie i rejestrowanie się lub resetowanie hasła.
Akcje | opis |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi |
Administrator zasad uwierzytelniania
Przypisz rolę Administracja istratora zasad uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:
- Skonfiguruj zasady metod uwierzytelniania, ustawienia uwierzytelniania wieloskładnikowego dla całej dzierżawy i zasady ochrony haseł, które określają metody, które każdy użytkownik może zarejestrować i używać.
- Zarządzanie ustawieniami ochrony haseł: inteligentne konfiguracje blokady i aktualizowanie niestandardowej listy zakazanych haseł.
- Tworzenie poświadczeń weryfikowalnych i zarządzanie nimi.
- Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zaktualizować właściwości poufnych. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
- Nie można usunąć ani przywrócić użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
- Nie można zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym lub sprzętowymi tokenami OATH.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administracja istrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Nie | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administracja istrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie | Nie. | Nie | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administracja istrator zasad uwierzytelniania | Nie | Nie. | Tak | Tak | Tak | Nie. | Nie |
Administrator użytkowników | Nie | Nie. | Nie. | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Akcje | opis |
---|---|
microsoft.directory/organization/strongAuthentication/allTasks | Zarządzanie wszystkimi aspektami silnych właściwości uwierzytelniania organizacji |
microsoft.directory/userCredentialPolicies/create | Tworzenie zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/delete | Usuwanie zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/standard/read | Odczytywanie standardowych właściwości zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/owner/read | Odczytywanie właścicieli zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Przeczytaj policy.appliesDo linku nawigacji |
microsoft.directory/userCredentialPolicies/basic/update | Aktualizowanie podstawowych zasad dla użytkowników |
microsoft.directory/userCredentialPolicies/owner/update | Aktualizowanie właścicieli zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualizowanie właściwości policy.isOrganizationDefault |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Odczytywanie weryfikowalnej karty poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odwoływanie weryfikowalnej karty poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Tworzenie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Odczytywanie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizowanie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/create | Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.directory/verifiableCredentials/configuration/delete | Usuń konfigurację wymaganą do utworzenia poświadczeń weryfikowalnych i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualizowanie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
Usługa Azure DevOps Administracja istrator
Użytkownicy z tą rolą mogą zarządzać wszystkimi zasadami usługi Azure DevOps w przedsiębiorstwie, mającym zastosowanie do wszystkich organizacji usługi Azure DevOps wspieranych przez identyfikator Firmy Microsoft Entra. Użytkownicy w tej roli mogą zarządzać tymi zasadami, przechodząc do dowolnej organizacji usługi Azure DevOps, która jest wspierana przez identyfikator Firmy Microsoft Entra. Ponadto użytkownicy w tej roli mogą przejmować własność oddzielonych organizacji usługi Azure DevOps. Ta rola nie udziela żadnych innych uprawnień specyficznych dla usługi Azure DevOps (na przykład kolekcji projektów Administracja istratorów) w żadnej organizacji usługi Azure DevOps wspieranej przez organizację firmy Microsoft Entra.
Akcje | opis |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure DevOps |
Administracja istrator usługi Azure Information Protection
Użytkownicy z tą rolą mają wszystkie uprawnienia w usłudze Azure Information Protection. Ta rola umożliwia konfigurowanie etykiet dla zasad usługi Azure Information Protection, zarządzanie szablonami ochrony i aktywowanie ochrony. Ta rola nie udziela żadnych uprawnień w usłudze Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal lub portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.azure.informationProtection/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
administrator zestawu kluczy IEF B2C
Jest to rola uprzywilejowana. Użytkownik może tworzyć klucze zasad i wpisy tajne oraz zarządzać nimi na potrzeby szyfrowania tokenów, podpisów tokenów i szyfrowania/odszyfrowywania oświadczeń. Dodając nowe klucze do istniejących kontenerów kluczy, ten ograniczony administrator może przerzucać wpisy tajne w razie potrzeby bez wpływu na istniejące aplikacje. Ten użytkownik może zobaczyć pełną zawartość tych wpisów tajnych i daty wygaśnięcia nawet po ich utworzeniu.
Ważne
Jest to wrażliwa rola. Rola administratora zestawu kluczy powinna być starannie przeprowadź inspekcję i przypisana z ostrożnością podczas przedprodukcyjnego i produkcyjnego.
Akcje | opis |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Odczytywanie i konfigurowanie zestawów kluczy w usłudze Azure Active Directory B2C |
administrator zasad IEF B2C
Użytkownicy w tej roli mają możliwość tworzenia, odczytywania, aktualizowania i usuwania wszystkich zasad niestandardowych w usłudze Azure AD B2C i w związku z tym mają pełną kontrolę nad platformą Identity Experience Framework w odpowiedniej organizacji usługi Azure AD B2C. Edytując zasady, ten użytkownik może ustanowić bezpośrednią federację z zewnętrznymi dostawcami tożsamości, zmienić schemat katalogu, zmienić całą zawartość użytkownika (HTML, CSS, JavaScript), zmienić wymagania, aby ukończyć uwierzytelnianie, utworzyć nowych użytkowników, wysłać dane użytkowników do systemów zewnętrznych, w tym pełne migracje, i edytować wszystkie informacje o użytkowniku, w tym poufne pola, takie jak hasła i numery telefonów. Z drugiej strony ta rola nie może zmienić kluczy szyfrowania ani edytować wpisów tajnych używanych do federacji w organizacji.
Ważne
Zasady IEF B2 Administracja istrator jest bardzo wrażliwą rolą, która powinna zostać przypisana w bardzo ograniczonym stopniu dla organizacji w środowisku produkcyjnym. Działania tych użytkowników powinny być ściśle poddawane inspekcji, szczególnie w przypadku organizacji w środowisku produkcyjnym.
Akcje | opis |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Odczytywanie i konfigurowanie zasad niestandardowych w usłudze Azure Active Directory B2C |
Administrator rozliczeń
Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.
Akcje | opis |
---|---|
microsoft.directory/organization/basic/update | Aktualizowanie podstawowych właściwości w organizacji |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami rozliczeń usługi Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator usługi Cloud App Security
Użytkownicy z tą rolą mają pełne uprawnienia w aplikacjach Defender dla Chmury. Mogą dodawać administratorów, dodawać zasady i ustawienia aplikacji Microsoft Defender dla Chmury, przekazywać dzienniki i wykonywać akcje nadzoru.
Akcje | opis |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator aplikacji w chmurze
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają te same uprawnienia co rola administratora aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji. Ta rola zapewnia możliwość tworzenia wszystkich aspektów aplikacji dla przedsiębiorstw i rejestracji aplikacji oraz zarządzania nimi. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.
Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Azure AD Graph i programu Microsoft Graph.
Ważne
Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład innych aplikacji firmy Microsoft, aplikacji innych firm lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak globalny Administracja istrator.
Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli application Administracja istrator daje im możliwość personifikacji tożsamości aplikacji.
Administracja istrator urządzeń w chmurze
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą włączać, wyłączać i usuwać urządzenia w identyfikatorze Entra firmy Microsoft oraz odczytywać klucze funkcji BitLocker systemu Windows 10 (jeśli są obecne) w witrynie Azure Portal. Rola nie udziela uprawnień do zarządzania innymi właściwościami na urządzeniu.
Administracja istrator zgodności
Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi ze zgodnością w portalu portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365, Azure i Microsoft 365 Defender. Przypisze mogą również zarządzać wszystkimi funkcjami w centrum administracyjnym programu Exchange i tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal zgodności Microsoft Purview | Ochrona danych organizacji i zarządzanie nimi w usługach Platformy Microsoft 365 Zarządzanie alertami zgodności |
Menedżer zgodności usługi Microsoft Purview | Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji |
Portal usługi Microsoft 365 Defender | Zarządzanie ładem danych Przeprowadzanie badania prawnego i danych Zarządzanie żądaniem podmiotu danych Ta rola ma takie same uprawnienia, jak grupa ról Administracja istrator zgodności w portalu usługi Microsoft 365 Defender oparta na rolach. |
Intune | Wyświetlanie wszystkich danych inspekcji usługi Intune |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia tylko do odczytu i może zarządzać alertami Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi |
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/entitlementManagement/allProperties/read | Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator danych zgodności
Użytkownicy z tą rolą mają uprawnienia do śledzenia danych w portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365 i na platformie Azure. Użytkownicy mogą również śledzić dane zgodności w centrum administracyjnym programu Exchange, Menedżerze zgodności i Aplikacji Teams i Skype dla firm centrum administracyjnym oraz tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji na temat różnic między Administracja istratorem zgodności i Administracja istratorem danych zgodności, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal zgodności Microsoft Purview | Monitorowanie zasad związanych ze zgodnością w usługach Microsoft 365 Zarządzanie alertami zgodności |
Menedżer zgodności usługi Microsoft Purview | Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji |
Portal usługi Microsoft 365 Defender | Zarządzanie ładem danych Przeprowadzanie badania prawnego i danych Zarządzanie żądaniem podmiotu danych Ta rola ma takie same uprawnienia, jak grupa ról Administracja istrator danych zgodności w usłudze Microsoft 365 Defender — kontrola dostępu oparta na rolach. |
Intune | Wyświetlanie wszystkich danych inspekcji usługi Intune |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia tylko do odczytu i może zarządzać alertami Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi |
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps |
microsoft.azure.informationProtection/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.complianceManager/allEntities/allTasks | Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator dostępu warunkowego
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać ustawieniami dostępu warunkowego firmy Microsoft.
Osoba zatwierdzająca dostęp do skrytki klienta
Zarządza żądaniami skrytki klienta usługi Microsoft Purview w organizacji. Otrzymują powiadomienia e-mail dotyczące żądań skrytki klienta i mogą zatwierdzać i odrzucać żądania z Centrum administracyjne platformy Microsoft 365. Mogą również włączyć lub wyłączyć funkcję skrytki klienta. Tylko administratorzy globalni Administracja mogą resetować hasła osób przypisanych do tej roli.
Akcje | opis |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Zarządzanie wszystkimi aspektami skrytki klienta |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator usługi Desktop Analytics
Użytkownicy tej roli mogą zarządzać usługą Desktop Analytics. Obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania oraz wyświetlania wdrożenia i stanu kondycji.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Desktop Analytics |
Czytelnicy katalogów
Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. Ta rola powinna być używana dla:
- Udzielanie określonego zestawu użytkowników-gości dostępu do odczytu zamiast udzielania go wszystkim użytkownikom-gościom.
- Udzielanie określonego zestawu użytkowników niebędących administratorami dostępu do witryny Azure Portal, gdy opcja "Ogranicz dostęp do witryny Azure Portal tylko administratorom" jest ustawiona na wartość "Tak".
- Udzielanie jednostkom usługi dostępu do katalogu, w którym Directory.Read.All nie jest opcją.
Akcje | opis |
---|---|
microsoft.directory/administrativeUnits/standard/read | Odczytywanie podstawowych właściwości jednostek administracyjnych |
microsoft.directory/administrativeUnits/members/read | Odczytywanie członków jednostek administracyjnych |
microsoft.directory/applications/standard/read | Odczytywanie standardowych właściwości aplikacji |
microsoft.directory/applications/owner/read | Odczytywanie właścicieli aplikacji |
microsoft.directory/applications/policies/read | Odczytywanie zasad aplikacji |
microsoft.directory/contacts/standard/read | Odczytywanie podstawowych właściwości kontaktów w usłudze Microsoft Entra ID |
microsoft.directory/contacts/memberOf/read | Przeczytaj członkostwo w grupie dla wszystkich kontaktów w identyfikatorze Entra firmy Microsoft |
microsoft.directory/contracts/standard/read | Odczytywanie podstawowych właściwości kontraktów partnerskich |
microsoft.directory/devices/standard/read | Odczytywanie podstawowych właściwości na urządzeniach |
microsoft.directory/devices/memberOf/read | Odczytywanie członkostwa w urządzeniach |
microsoft.directory/devices/registeredOwners/read | Odczytywanie zarejestrowanych właścicieli urządzeń |
microsoft.directory/devices/registeredUsers/read | Odczytywanie zarejestrowanych użytkowników urządzeń |
microsoft.directory/directoryRoles/standard/read | Odczytywanie podstawowych właściwości ról usługi Microsoft Entra |
microsoft.directory/directoryRoles/eligibleMembers/read | Przeczytaj uprawnionych członków ról firmy Microsoft Entra |
microsoft.directory/directoryRoles/members/read | Odczytywanie wszystkich członków ról firmy Microsoft Entra |
microsoft.directory/domains/standard/read | Odczytywanie podstawowych właściwości w domenach |
microsoft.directory/groups/standard/read | Odczytywanie standardowych właściwości grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji grup |
microsoft.directory/groups/memberOf/read | Odczytywanie właściwości memberOf w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/members/read | Odczytywanie członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/owner/read | Odczytywanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/settings/read | Odczyt ustawień grup |
microsoft.directory/group Ustawienia/standard/read | Odczytywanie podstawowych właściwości ustawień grupy |
microsoft.directory/groupSettingTemplates/standard/read | Odczytywanie podstawowych właściwości szablonów ustawień grupy |
microsoft.directory/oAuth2PermissionGrants/standard/read | Odczytywanie podstawowych właściwości przy udzielanych uprawnieniach protokołu OAuth 2.0 |
microsoft.directory/organization/standard/read | Odczytywanie podstawowych właściwości w organizacji |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Odczytywanie zaufanych urzędów certyfikacji na potrzeby uwierzytelniania bez hasła |
microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
microsoft.directory/roleAssignments/standard/read | Odczytywanie podstawowych właściwości przypisań ról |
microsoft.directory/roleDefinitions/standard/read | Odczytywanie podstawowych właściwości definicji ról |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Odczytywanie przypisań ról jednostki usługi |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Odczytywanie przypisań ról przypisanych do jednostek usługi |
microsoft.directory/servicePrincipals/standard/read | Odczytywanie podstawowych właściwości jednostek usługi |
microsoft.directory/servicePrincipals/memberOf/read | Odczytywanie członkostwa w grupach w jednostkach usługi |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla jednostek usługi |
microsoft.directory/servicePrincipals/owner/read | Odczytywanie właścicieli jednostek usługi |
microsoft.directory/servicePrincipals/ownedObjects/read | Odczytywanie obiektów należących do jednostek usługi |
microsoft.directory/servicePrincipals/policies/read | Odczytywanie zasad jednostek usługi |
microsoft.directory/subscribedSkus/standard/read | Odczytywanie podstawowych właściwości subskrypcji |
microsoft.directory/users/standard/read | Odczytywanie podstawowych właściwości dla użytkowników |
microsoft.directory/users/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji dla użytkowników |
microsoft.directory/users/deviceForResourceAccount/read | Odczyt deviceForResourceAccount użytkowników |
microsoft.directory/users/directReports/read | Odczytywanie bezpośrednich raportów dla użytkowników |
microsoft.directory/users/invitedBy/read | Przeczytaj użytkownika, który zaprosił użytkownika zewnętrznego do dzierżawy |
microsoft.directory/users/licenseDetails/read | Odczytywanie szczegółów licencji użytkowników |
microsoft.directory/users/manager/read | Menedżer odczytu użytkowników |
microsoft.directory/users/memberOf/read | Odczytywanie członkostwa w grupach użytkowników |
microsoft.directory/users/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla użytkowników |
microsoft.directory/users/ownedDevices/read | Odczytywanie urządzeń należących do użytkowników |
microsoft.directory/users/ownedObjects/read | Odczytywanie obiektów użytkowników będących własnością |
microsoft.directory/users/photo/read | Odczytywanie zdjęć użytkowników |
microsoft.directory/users/registeredDevices/read | Odczytywanie zarejestrowanych urządzeń użytkowników |
microsoft.directory/users/scopedRoleMemberOf/read | Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej |
microsoft.directory/users/sponsors/read | Odczytywanie sponsorów użytkowników |
Konta synchronizacji katalogów
Jest to rola uprzywilejowana. Nie używaj. Ta rola jest automatycznie przypisywana do usługi Microsoft Entra Połączenie i nie jest przeznaczona ani obsługiwana dla żadnego innego użycia.
Autorzy katalogów
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą odczytywać i aktualizować podstawowe informacje o użytkownikach, grupach i jednostkach usługi.
Administracja istrator nazwy domeny
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać nazwami domen (odczytywać, dodawać, weryfikować, aktualizować i usuwać). Mogą również odczytywać informacje o katalogu dotyczące użytkowników, grup i aplikacji, ponieważ te obiekty mają zależności domeny. W przypadku środowisk lokalnych użytkownicy z tą rolą mogą konfigurować nazwy domen dla federacji, aby skojarzeni użytkownicy zawsze uwierzytelniani lokalnie. Ci użytkownicy mogą następnie logować się do usług firmy Microsoft Entra przy użyciu haseł lokalnych za pośrednictwem logowania jednokrotnego. Ustawienia federacji muszą być synchronizowane za pośrednictwem Połączenie firmy Microsoft, dlatego użytkownicy mają również uprawnienia do zarządzania Połączenie firmy Microsoft.
Administrator usługi Dynamics 365
Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Dynamics 365 Online, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi do zarządzania dzierżawą.
Uwaga
W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Dynamics 365 Service Administracja istrator. W witrynie Azure Portal nosi nazwę Dynamics 365 Administracja istrator.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.dynamics365/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Dynamics 365 Business Central Administracja istrator
Przypisz rolę Administracja istratora usługi Dynamics 365 Business Central do użytkowników, którzy muszą wykonywać następujące zadania:
- Uzyskiwanie dostępu do środowisk usługi Dynamics 365 Business Central
- Wykonywanie wszystkich zadań administracyjnych w środowiskach
- Zarządzanie cyklem życia środowisk klienta
- Nadzorowanie rozszerzeń zainstalowanych w środowiskach
- Kontrolowanie uaktualnień środowisk
- Wykonywanie eksportów danych w środowiskach
- Odczytywanie i konfigurowanie pulpitów nawigacyjnych kondycji usług platformy Azure i platformy Microsoft 365
Ta rola nie zapewnia żadnych uprawnień dla innych produktów usługi Dynamics 365.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/subscribedSkus/standard/read | Odczytywanie podstawowych właściwości subskrypcji |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator usługi Edge
Użytkownicy w tej roli mogą tworzyć listę witryn przedsiębiorstwa wymaganą dla trybu programu Internet Explorer w przeglądarce Microsoft Edge i zarządzać nią. Ta rola udziela uprawnień do tworzenia, edytowania i publikowania listy witryn, a ponadto umożliwia dostęp do zarządzania biletami pomocy technicznej. Dowiedz się więcej
Akcje | opis |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator programu Exchange
Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Exchange Service Administracja istrator. W witrynie Azure Portal nosi nazwę Exchange Administracja istrator. W centrum administracyjnym programu Exchange jest on nazwany administratorem usługi Exchange Online.
Akcje | opis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.exchange/allEntities/basic/allTasks | Zarządzanie wszystkimi aspektami usługi Exchange Online |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator adresata programu Exchange
Użytkownicy z tą rolą mają dostęp do odczytu do adresatów i dostęp do zapisu do atrybutów tych adresatów w usłudze Exchange Online. Aby uzyskać więcej informacji, zobacz Adresaci w programie Exchange Server.
Akcje | opis |
---|---|
microsoft.office365.exchange/recipients/allProperties/allTasks | Tworzenie i usuwanie wszystkich adresatów oraz odczytywanie i aktualizowanie wszystkich właściwości adresatów w usłudze Exchange Online |
microsoft.office365.exchange/migration/allProperties/allTasks | Zarządzanie wszystkimi zadaniami związanymi z migracją adresatów w usłudze Exchange Online |
Przepływ użytkownika identyfikatora zewnętrznego Administracja istrator
Użytkownicy z tą rolą mogą tworzyć przepływy użytkowników (nazywane również zasadami wbudowanymi) i zarządzać nimi w witrynie Azure Portal. Ci użytkownicy mogą dostosowywać zawartość HTML/CSS/JavaScript, zmieniać wymagania uwierzytelniania wieloskładnikowego, wybierać oświadczenia w tokenie, zarządzać łącznikami interfejsu API i ich poświadczeniami oraz konfigurować ustawienia sesji dla wszystkich przepływów użytkowników w organizacji firmy Microsoft Entra. Z drugiej strony ta rola nie obejmuje możliwości przeglądania danych użytkownika ani wprowadzania zmian w atrybutach uwzględnionych w schemacie organizacji. Zmiany zasad struktury obsługi tożsamości (nazywane również zasadami niestandardowymi) są również poza zakresem tej roli.
Akcje | opis |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Odczytywanie i konfigurowanie przepływu użytkownika w usłudze Azure Active Directory B2C |
Atrybut przepływu użytkownika identyfikatora zewnętrznego Administracja istrator
Użytkownicy z tą rolą dodają lub usuń atrybuty niestandardowe dostępne dla wszystkich przepływów użytkowników w organizacji Microsoft Entra. W związku z tym użytkownicy z tą rolą mogą zmieniać lub dodawać nowe elementy do schematu użytkownika końcowego i wpływać na zachowanie wszystkich przepływów użytkowników i pośrednio spowodować zmiany danych, które mogą zostać poproszone o użytkowników końcowych i ostatecznie wysłane jako oświadczenia do aplikacji. Ta rola nie może edytować przepływów użytkownika.
Akcje | opis |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Odczytywanie i konfigurowanie atrybutu użytkownika w usłudze Azure Active Directory B2C |
Dostawca tożsamości zewnętrznej Administracja istrator
Jest to rola uprzywilejowana. Ten administrator zarządza federacją między organizacjami firmy Microsoft Entra i zewnętrznymi dostawcami tożsamości. Dzięki tej roli użytkownicy mogą dodawać nowych dostawców tożsamości i konfigurować wszystkie dostępne ustawienia (np. ścieżka uwierzytelniania, identyfikator usługi, przypisane kontenery kluczy). Ten użytkownik może umożliwić organizacji firmy Microsoft Entra zaufanie uwierzytelniania od zewnętrznych dostawców tożsamości. Wynikowy wpływ na środowiska użytkownika końcowego zależy od typu organizacji:
- Organizacje firmy Microsoft Entra dla pracowników i partnerów: dodanie federacji (np. z usługą Gmail) natychmiast wpłynie na wszystkie zaproszenia gościa, które nie zostały jeszcze zrealizowane. Zobacz Dodawanie usługi Google jako dostawcy tożsamości dla użytkowników-gości B2B.
- Organizacje usługi Azure Active Directory B2C: dodanie federacji (na przykład z usługą Facebook lub inną organizacją firmy Microsoft Entra) nie ma natychmiastowego wpływu na przepływy użytkowników końcowych do momentu dodania dostawcy tożsamości jako opcji w przepływie użytkownika (nazywanej również wbudowanymi zasadami). Zobacz Konfigurowanie konta Microsoft jako dostawcy tożsamości, aby zapoznać się z przykładem. Aby zmienić przepływy użytkowników, wymagana jest ograniczona rola "B2C User Flow Administracja istrator".
Administracja istrator sieci szkieletowej
Użytkownicy z tą rolą mają uprawnienia globalne w ramach usług Microsoft Fabric i Power BI, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Understanding Fabric admin roles (Opis ról administratora sieci szkieletowej).
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Zarządzanie wszystkimi aspektami sieci szkieletowej i usługi Power BI |
Globalny administrator usługi
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Microsoft Entra ID, a także usług korzystających z tożsamości firmy Microsoft Entra, takich jak portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, Exchange Online, SharePoint Online i Skype dla firm Online. Globalne Administracja istratory mogą wyświetlać dzienniki aktywności katalogu. Ponadto administratorzy globalni Administracja mogą podnieść swój dostęp do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Dzięki temu globalni Administracja istratorzy mogą uzyskać pełny dostęp do wszystkich zasobów platformy Azure przy użyciu odpowiedniej dzierżawy firmy Microsoft Entra. Osoba, która zarejestruje się w organizacji Microsoft Entra, staje się globalnym Administracja istratorem. W twojej firmie może istnieć więcej niż jeden globalny Administracja istrator. Globalne Administracja istratory mogą zresetować hasło dla dowolnego użytkownika i wszystkich innych administratorów. Administrator globalny Administracja nie może usunąć własnego przypisania globalnego Administracja istratora. Zapobiega to sytuacji, w której organizacja ma zero globalnych Administracja istratorów.
Uwaga
Najlepszym rozwiązaniem jest przypisanie roli Global Administracja istrator do mniej niż pięciu osób w organizacji. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ról firmy Microsoft Entra.
Czytelnik globalny
Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą odczytywać ustawienia i informacje administracyjne w usługach platformy Microsoft 365, ale nie mogą podejmować działań związanych z zarządzaniem. Czytelnik globalny jest odpowiednikiem tylko do odczytu do globalnego Administracja istratora. Przypisz czytelnika globalnego zamiast globalnego Administracja istratora do planowania, inspekcji lub badań. Użyj czytelnika globalnego w połączeniu z innymi ograniczonymi rolami administratora, takimi jak Exchange Administracja istrator, aby ułatwić pracę bez przypisywania roli globalnego Administracja istratora. Czytelnik globalny współpracuje z Centrum administracyjne platformy Microsoft 365, centrum administracyjnym programu Exchange, centrum administracyjnym programu SharePoint, centrum administracyjnym usługi Teams, portalem usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, witryną Azure Portal i Zarządzanie urządzeniami centrum administracyjne.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można uzyskać dostępu do obszaru Zakup usług w Centrum administracyjne platformy Microsoft 365.
Uwaga
Rola Czytelnik globalny ma następujące ograniczenia:
- Centrum administracyjne usługi OneDrive — centrum administracyjne usługi OneDrive nie obsługuje roli Czytelnik globalny
- Centrum administracyjne platformy Microsoft 365 — czytnik globalny nie może odczytać zintegrowanych aplikacji. Nie znajdziesz karty Zintegrowane aplikacje w obszarze Ustawienia w lewym okienku Centrum administracyjne platformy Microsoft 365.
- Portal usługi Microsoft 365 Defender — czytelnik globalny nie może odczytać dzienników inspekcji SCC, przeszukiwać zawartości ani wyświetlać wskaźnika bezpieczeństwa.
- Centrum administracyjne usługi Teams — czytelnik globalny nie może odczytać cyklu życia usługi Teams, analiz i raportów, zarządzania urządzeniami z telefonami IP i wykazu aplikacji. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi Microsoft Teams do zarządzania usługą Teams.
- Usługa Privileged Access Management nie obsługuje roli Czytelnik globalny.
- Azure Information Protection — czytelnik globalny jest obsługiwany tylko w przypadku centralnego raportowania , a twoja organizacja Firmy Microsoft Entra nie znajduje się na ujednoliconej platformie etykietowania.
- SharePoint — czytelnik globalny obecnie nie może uzyskać dostępu do programu SharePoint przy użyciu programu PowerShell.
- Centrum administracyjne platformy Power Platform — czytelnik globalny nie jest jeszcze obsługiwany w centrum administracyjnym platformy Power Platform.
- Usługa Microsoft Purview nie obsługuje roli Czytelnik globalny.
Globalny Administracja istrator bezpiecznego dostępu
Przypisz rolę globalnego Administracja istratora bezpiecznego dostępu do użytkowników, którzy muszą wykonać następujące czynności:
- Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi
- Zarządzanie dostępem do publicznych i prywatnych punktów końcowych
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać aplikacjami dla przedsiębiorstw, rejestracjami aplikacji, dostępem warunkowym lub ustawieniami serwera proxy aplikacji
Akcje | opis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
microsoft.directory/applications/applicationProxy/read | Odczytywanie wszystkich właściwości serwera proxy aplikacji |
microsoft.directory/applications/owner/read | Odczytywanie właścicieli aplikacji |
microsoft.directory/applications/policies/read | Odczytywanie zasad aplikacji |
microsoft.directory/applications/standard/read | Odczytywanie standardowych właściwości aplikacji |
microsoft.directory/auditLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń |
microsoft.directory/conditionalAccessPolicies/standard/read | Odczyt dostępu warunkowego dla zasad |
microsoft.directory/connectorGroups/allProperties/read | Odczytywanie wszystkich właściwości grup łączników sieci prywatnej |
microsoft.directory/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników sieci prywatnej |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/standard/read | Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami |
microsoft.directory/namedLocations/standard/read | Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe |
microsoft.directory/signInReports/allProperties/read | Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych |
microsoft.networkAccess/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami dostępu do sieci firmy Microsoft |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator grup
Użytkownicy w tej roli mogą tworzyć grupy i jej ustawienia, takie jak nazewnictwo i zasady wygasania, oraz zarządzać nimi. Ważne jest, aby zrozumieć, że przypisanie użytkownika do tej roli daje im możliwość zarządzania wszystkimi grupami w organizacji w różnych obciążeniach, takich jak Teams, SharePoint, Yammer oprócz programu Outlook. Ponadto użytkownik będzie mógł zarządzać różnymi ustawieniami grup w różnych portalach administracyjnych, takich jak Centrum administracyjne firmy Microsoft, Witryna Azure Portal, a także specyficzne dla obciążeń, takie jak teams i centra administracyjne programu SharePoint.
Akcje | opis |
---|---|
microsoft.directory/deletedItems.groups/delete | Trwałe usuwanie grup, których nie można już przywrócić |
microsoft.directory/deletedItems.groups/restore | Przywracanie nietrwałych usuniętych grup do stanu pierwotnego |
microsoft.directory/groups/assignLicense | Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/create | Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/delete | Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/restore | Przywracanie grup z kontenera usuniętego nietrwale |
microsoft.directory/groups/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/classification/update | Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/dynamicMembershipRule/update | Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/groupType/update | Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/members/update | Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/onPremWriteBack/update | Zaktualizuj grupy Firmy Microsoft Entra, aby zostały zapisane z powrotem do środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie |
microsoft.directory/groups/owner/update | Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/settings/update | Aktualizowanie ustawień grup |
microsoft.directory/groups/visibility/update | Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Osoba zapraszana gościa
Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkownika-gościa firmy Microsoft Entra B2B, gdy ustawienie Członkowie mogą zapraszać użytkownika jest ustawione na Nie. Więcej informacji na temat współpracy B2B można znaleźć na stronie Informacje o współpracy firmy Microsoft Entra B2B. Nie zawiera żadnych innych uprawnień.
Akcje | opis |
---|---|
microsoft.directory/users/inviteGuest | Zapraszanie użytkowników-gości |
microsoft.directory/users/standard/read | Odczytywanie podstawowych właściwości dla użytkowników |
microsoft.directory/users/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji dla użytkowników |
microsoft.directory/users/deviceForResourceAccount/read | Odczyt deviceForResourceAccount użytkowników |
microsoft.directory/users/directReports/read | Odczytywanie bezpośrednich raportów dla użytkowników |
microsoft.directory/users/invitedBy/read | Przeczytaj użytkownika, który zaprosił użytkownika zewnętrznego do dzierżawy |
microsoft.directory/users/licenseDetails/read | Odczytywanie szczegółów licencji użytkowników |
microsoft.directory/users/manager/read | Menedżer odczytu użytkowników |
microsoft.directory/users/memberOf/read | Odczytywanie członkostwa w grupach użytkowników |
microsoft.directory/users/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla użytkowników |
microsoft.directory/users/ownedDevices/read | Odczytywanie urządzeń należących do użytkowników |
microsoft.directory/users/ownedObjects/read | Odczytywanie obiektów użytkowników będących własnością |
microsoft.directory/users/photo/read | Odczytywanie zdjęć użytkowników |
microsoft.directory/users/registeredDevices/read | Odczytywanie zarejestrowanych urządzeń użytkowników |
microsoft.directory/users/scopedRoleMemberOf/read | Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej |
microsoft.directory/users/sponsors/read | Odczytywanie sponsorów użytkowników |
Pomoc techniczna Administracja istrator
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zmieniać hasła, unieważniać tokeny odświeżania, tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz monitorować kondycję usługi. Unieważnienie tokenu odświeżania wymusza ponowne zalogowanie się użytkownika. To, czy Administracja istrator pomocy technicznej może zresetować hasło użytkownika i unieważnić tokeny odświeżania, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, które Administracja istrator pomocy technicznej może resetować hasła i unieważniać tokeny odświeżania, zobacz KtoTo może resetować hasła.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
Ważne
Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom pomocy technicznej. Za pomocą tej ścieżki Administracja istrator pomocy technicznej może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo założyć tożsamość uprzywilejowanej aplikacji, aktualizując poświadczenia dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Delegowanie uprawnień administracyjnych przez podzestawy użytkowników i stosowanie zasad do podzestawu użytkowników jest możliwe przy użyciu jednostek Administracja istracyjnych.
Ta rola nosiła wcześniej nazwę Password Administracja istrator w witrynie Azure Portal. Zmieniono jej nazwę na Helpdesk Administracja istrator, aby dopasować ją do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Azure AD PowerShell.
Administracja istrator tożsamości hybrydowej
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą tworzyć i wdrażać konfigurację aprowizacji z usługi Active Directory do usługi Microsoft Entra ID przy użyciu aprowizacji w chmurze, a także zarządzać usługą Microsoft Entra Połączenie, uwierzytelnianiem przekazywanym (PTA), synchronizacją skrótów haseł (PHS), bezproblemowym logowaniem jednokrotnym (bezproblemowym logowaniem jednokrotnym) i ustawieniami federacji. Nie ma dostępu do zarządzania usługą Microsoft Entra Połączenie Health. Użytkownicy mogą również rozwiązywać problemy z dziennikami i monitorować je przy użyciu tej roli.
Zarządzanie tożsamościami Administracja istrator
Użytkownicy z tą rolą mogą zarządzać konfiguracją Zarządzanie tożsamością Microsoft Entra, w tym pakietami dostępu, przeglądami dostępu, wykazami i zasadami, zapewniając, że dostęp jest zatwierdzony i przeglądany oraz użytkownicy-goście, którzy nie potrzebują już dostępu, są usuwane.
Akcje | opis |
---|---|
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Zarządzanie przeglądami dostępu przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Przeczytaj wszystkie właściwości przeglądów dostępu dotyczących członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról. |
microsoft.directory/accessReviews/definitions.groups/create | Tworzenie przeglądów dostępu do członkostwa w grupach zabezpieczeń i platformy Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Usuń przeglądy dostępu dotyczące członkostwa w grupach zabezpieczeń i platformy Microsoft 365. |
microsoft.directory/accessReviews/allProperties/allTasks | (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w usłudze Microsoft Entra ID |
microsoft.directory/entitlementManagement/allProperties/allTasks | Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w zarządzaniu upoważnieniami firmy Microsoft |
microsoft.directory/groups/members/update | Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizowanie przypisań ról jednostki usługi |
Szczegółowe informacje Administracja istrator
Użytkownicy tej roli mogą uzyskiwać dostęp do pełnego zestawu funkcji administracyjnych w aplikacji Microsoft Viva Szczegółowe informacje. Ta rola ma możliwość odczytywania informacji o katalogu, monitorowania kondycji usługi, biletów pomocy technicznej plików i uzyskiwania dostępu do aspektów ustawień Szczegółowe informacje Administracja istratora.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.insights/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami aplikacji Szczegółowe informacje |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
analityk Szczegółowe informacje
Przypisz rolę analityka Szczegółowe informacje do użytkowników, którzy muszą wykonać następujące czynności:
- Analizowanie danych w aplikacji Microsoft Viva Szczegółowe informacje, ale nie może zarządzać żadnymi ustawieniami konfiguracji
- Tworzenie i uruchamianie zapytań oraz zarządzanie nimi
- Wyświetlanie podstawowych ustawień i raportów w Centrum administracyjne platformy Microsoft 365
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.insights/queries/allProperties/allTasks | Uruchamianie zapytań i zarządzanie nimi w aplikacji Viva Szczegółowe informacje |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
lider biznesowy Szczegółowe informacje
Użytkownicy w tej roli mogą uzyskiwać dostęp do zestawu pulpitów nawigacyjnych i szczegółowych informacji za pośrednictwem aplikacji Microsoft Viva Szczegółowe informacje. Obejmuje to pełny dostęp do wszystkich pulpitów nawigacyjnych oraz prezentowanych szczegółowych informacji i funkcji eksploracji danych. Użytkownicy w tej roli nie mają dostępu do ustawień konfiguracji produktu, które są odpowiedzialne za rolę Szczegółowe informacje Administracja istratora.
Akcje | opis |
---|---|
microsoft.insights/reports/allProperties/read | Wyświetlanie raportów i pulpitów nawigacyjnych w aplikacji Szczegółowe informacje |
microsoft.insights/programs/allProperties/update | Wdrażanie programów i zarządzanie nimi w aplikacji Szczegółowe informacje |
Administrator usługi Intune
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Intune Online, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi. Aby uzyskać więcej informacji, zobacz Kontrola administracji opartej na rolach (RBAC) w usłudze Microsoft Intune.
Ta rola może tworzyć wszystkie grupy zabezpieczeń i zarządzać nimi. Jednak usługa Intune Administracja istrator nie ma uprawnień administratora do grup pakietu Office. Oznacza to, że administrator nie może zaktualizować właścicieli ani członkostwa we wszystkich grupach pakietu Office w organizacji. Może jednak zarządzać grupą pakietu Office, która jest tworzona jako część uprawnień użytkownika końcowego. Dlatego każda grupa pakietu Office (nie grupa zabezpieczeń), którą tworzy, powinna być liczone względem limitu przydziału 250.
Uwaga
W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Intune Service Administracja istrator. W witrynie Azure Portal nosi nazwę Intune Administracja istrator.
Kaizala Administracja istrator
Użytkownicy z tą rolą mają uprawnienia globalne do zarządzania ustawieniami w Aplikacja Microsoft Kaizala, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Ponadto użytkownik może uzyskiwać dostęp do raportów związanych z wdrażaniem i użyciem usługi Kaizala przez członków organizacji i raportów biznesowych generowanych przy użyciu akcji Kaizala.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator wiedzy
Użytkownicy tej roli mają pełny dostęp do wszystkich ustawień wiedzy, uczenia się i inteligentnych funkcji w Centrum administracyjne platformy Microsoft 365. Mają ogólną wiedzę na temat pakietu produktów, szczegółów licencjonowania i mają odpowiedzialność za kontrolę dostępu. Administracja istrator wiedzy może tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zasoby szkoleniowe. Ponadto ci użytkownicy mogą tworzyć centra zawartości, monitorować kondycję usługi i tworzyć żądania obsługi.
Akcje | opis |
---|---|
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/createAsOwner | Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel. |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Zarządzanie źródłami uczenia i wszystkimi ich właściwościami w aplikacji Edukacja. |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Odczytywanie wszystkich właściwości etykiet poufności w centrach zabezpieczeń i zgodności |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Menedżer bazy wiedzy
Użytkownicy w tej roli mogą tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zawartość szkoleniowa. Ci użytkownicy są odpowiedzialni przede wszystkim za jakość i strukturę wiedzy. Ten użytkownik ma pełne uprawnienia do akcji zarządzania tematami w celu potwierdzenia tematu, zatwierdzenia edycji lub usunięcia tematu. Ta rola może również zarządzać taksonomiami w ramach narzędzia do zarządzania magazynami terminów i tworzyć centra zawartości.
Akcje | opis |
---|---|
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/createAsOwner | Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel. |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Odczytywanie raportów analitycznych o zrozumieniu zawartości w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator licencji
Użytkownicy tej roli mogą odczytywać, dodawać, usuwać i aktualizować przypisania licencji dla użytkowników, grup (przy użyciu licencjonowania opartego na grupach) i zarządzać lokalizacją użycia użytkowników. Rola nie udziela możliwości zakupu subskrypcji ani zarządzania nimi, tworzenia grup lub zarządzania nimi ani tworzenia użytkowników poza lokalizacją użycia ani zarządzania nimi. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/groups/assignLicense | Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach |
microsoft.directory/users/assignLicense | Zarządzanie licencjami użytkowników |
microsoft.directory/users/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji dla użytkowników |
microsoft.directory/users/usageLocation/update | Aktualizowanie lokalizacji użycia użytkowników |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Przepływy pracy cyklu życia Administracja istrator
Jest to rola uprzywilejowana. Przypisz role przepływów pracy cyklu życia Administracja istrator użytkownikom, którzy muszą wykonywać następujące zadania:
- Tworzenie wszystkich aspektów przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzanie nimi w identyfikatorze Entra firmy Microsoft
- Sprawdzanie wykonywania zaplanowanych przepływów pracy
- Uruchamianie przebiegów przepływu pracy na żądanie
- Inspekcja dzienników wykonywania przepływu pracy
Czytelnik prywatności Centrum wiadomości
Użytkownicy tej roli mogą monitorować wszystkie powiadomienia w Centrum wiadomości, w tym komunikaty o ochronie prywatności danych. Czytelnicy prywatności w Centrum wiadomości otrzymują powiadomienia e-mail, w tym powiadomienia dotyczące prywatności danych i mogą anulować subskrypcję przy użyciu preferencji Centrum wiadomości. Tylko globalny Administracja istrator i czytelnik prywatności Centrum wiadomości mogą odczytywać komunikaty o ochronie prywatności danych. Ponadto ta rola zawiera możliwość wyświetlania grup, domen i subskrypcji. Ta rola nie ma uprawnień do wyświetlania, tworzenia żądań obsługi ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.messageCenter/securityMessages/read | Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Czytelnik Centrum wiadomości
Użytkownicy tej roli mogą monitorować powiadomienia i porady dotyczące aktualizacji kondycji w Centrum wiadomości dla swojej organizacji na skonfigurowanych usługach, takich jak Exchange, Intune i Microsoft Teams. Czytelnicy Centrum wiadomości otrzymują cotygodniowe skróty wiadomości e-mail postów, aktualizacji i mogą udostępniać wpisy centrum wiadomości na platformie Microsoft 365. W usłudze Microsoft Entra ID użytkownicy przypisani do tej roli będą mieli dostęp tylko do odczytu w usługach Firmy Microsoft Entra, takich jak użytkownicy i grupy. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator migracji platformy Microsoft 365
Przypisz rolę Administracja istratora migracji platformy Microsoft 365 do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie migracją zawartości do platformy Microsoft 365 za pomocą programu Migration Manager w Centrum administracyjne platformy Microsoft 365, w tym aplikacji Teams, OneDrive dla Firm i witryn programu SharePoint, z usługi Google Drive, Dropbox, Box i Egnyte
- Wybieranie źródeł migracji, tworzenie spisów migracji (takich jak listy użytkowników dysku Google), planowanie i wykonywanie migracji oraz pobieranie raportów
- Utwórz nowe witryny programu SharePoint, jeśli witryny docelowe jeszcze nie istnieją, utwórz listy programu SharePoint w witrynach administracyjnych programu SharePoint i utwórz i zaktualizuj elementy na listach programu SharePoint
- Zarządzanie ustawieniami projektu migracji i cyklem życia migracji pod kątem zadań
- Zarządzanie mapowaniami uprawnień ze źródła do miejsca docelowego
Uwaga
Ta rola nie umożliwia migracji ze źródeł udziałów plików przy użyciu centrum administracyjnego programu SharePoint. Do migracji ze źródeł udziału plików można użyć roli Administracja istrator programu SharePoint.
Akcje | opis |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
Lokalny Administracja istrator urządzenia dołączonego do firmy Microsoft
Ta rola jest dostępna tylko dla przypisania jako dodatkowy administrator lokalny w ustawieniach urządzenia. Użytkownicy z tą rolą stają się administratorami komputerów lokalnych na wszystkich urządzeniach z systemem Windows 10, które są przyłączone do identyfikatora Entra firmy Microsoft. Nie mają możliwości zarządzania obiektami urządzeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/group Ustawienia/standard/read | Odczytywanie podstawowych właściwości ustawień grupy |
microsoft.directory/groupSettingTemplates/standard/read | Odczytywanie podstawowych właściwości szablonów ustawień grupy |
Administracja istrator gwarancji sprzętu firmy Microsoft
Przypisz rolę Administracja istratora gwarancji sprzętowej firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
- Wyszukiwanie i odczytywanie otwartych lub zamkniętych roszczeń dotyczących gwarancji
- Wyszukiwanie i odczytywanie oświadczeń gwarancji według numeru seryjnego
- Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych
- Przeczytaj stan wysyłki dla otwartych roszczeń dotyczących gwarancji
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
- Przeczytaj anonse centrum wiadomości w Centrum administracyjne platformy Microsoft 365
Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.
Akcje | opis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym adresów wysyłkowych utworzonych przez inne osoby |
microsoft.hardware.support/shippingStatus/allProperties/read | Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Tworzenie wszystkich aspektów gwarancji sprzętowych firmy Microsoft i zarządzanie nimi |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Specjalista od gwarancji sprzętowych firmy Microsoft
Przypisz specjalistę ds. gwarancji sprzętowych firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
- Odczytywanie oświadczeń gwarancji utworzonych przez nich
- Odczytywanie i aktualizowanie istniejących adresów wysyłkowych
- Przeczytaj stan wysyłki dla utworzonych przez nich oświadczeń dotyczących gwarancji otwarcia
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.
Akcje | opis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Odczytywanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym istniejących adresów wysyłkowych utworzonych przez inne osoby |
microsoft.hardware.support/warrantyClaims/createAsOwner | Tworzenie oświadczeń dotyczących gwarancji sprzętowych firmy Microsoft, w których twórca jest właścicielem |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft |
microsoft.hardware.support/warrantyClaims/allProperties/read | Przeczytaj oświadczenia dotyczące gwarancji sprzętowych firmy Microsoft |
Modern Commerce Administracja istrator
Nie używaj. Ta rola jest automatycznie przypisywana z obszaru Commerce i nie jest przeznaczona ani obsługiwana w przypadku żadnego innego użycia. Zobacz szczegóły poniżej.
Rola nowoczesnego Administracja istratora umożliwia niektórym użytkownikom dostęp do Centrum administracyjne platformy Microsoft 365 i wyświetlanie wpisów nawigacji po lewej stronie dla strony głównej, rozliczeń i pomocy technicznej. Zawartość dostępna w tych obszarach jest kontrolowana przez role specyficzne dla handlu przypisane do użytkowników w celu zarządzania produktami zakupionymi dla siebie lub organizacji. Może to obejmować zadania, takie jak płacenie rachunków, lub dostęp do kont rozliczeniowych i profilów rozliczeniowych.
Użytkownicy z rolą nowoczesnego Administracja istratora zazwyczaj mają uprawnienia administracyjne w innych systemach zakupów firmy Microsoft, ale nie mają ról globalnych Administracja istratora lub Administracja istratora rozliczeń używanych do uzyskiwania dostępu do centrum administracyjnego.
Kiedy przypisano rolę nowoczesnego Administracja istratora?
- Zakup samoobsługowy w Centrum administracyjne platformy Microsoft 365 — zakup samoobsługowy daje użytkownikom możliwość wypróbowania nowych produktów przez zakup lub zarejestrowanie się na własną rękę. Te produkty są zarządzane w centrum administracyjnym. Użytkownicy, którzy dokonają zakupu samoobsługowego, mają przypisaną rolę w systemie handlowym oraz rolę nowoczesnego handlu Administracja istratora, aby mogli zarządzać zakupami w centrum administracyjnym. Administracja mogą blokować zakupy samoobsługowe (w przypadku usług Fabric, Power BI, Power Apps, Power Automate) za pośrednictwem usługi PowerShell. Aby uzyskać więcej informacji, zobacz Samoobsługowy zakup — często zadawane pytania.
- Zakupy z komercyjnej platformy handlowej firmy Microsoft — podobnie jak w przypadku zakupu samoobsługowego, gdy użytkownik kupuje produkt lub usługę z witryny Microsoft AppSource lub Witryny Azure Marketplace, przypisana jest rola nowoczesnego Administracja istratora handlu, jeśli nie ma roli globalnego Administracja istratora lub Administracja istratora rozliczeń. W niektórych przypadkach użytkownicy mogą mieć zablokowaną możliwość dokonywania tych zakupów. Aby uzyskać więcej informacji, zobacz Platforma handlowa firmy Microsoft.
- Propozycje firmy Microsoft — propozycja to formalna oferta firmy Microsoft dla Twojej organizacji, która umożliwia zakup produktów i usług firmy Microsoft. Gdy osoba akceptująca propozycję nie ma roli globalnego Administracja istratora lub Administracja istratora rozliczeń w identyfikatorze Entra firmy Microsoft, ma przypisaną zarówno rolę specyficzną dla handlu, aby ukończyć propozycję, jak i rolę nowoczesnego Administracja istratora w celu uzyskania dostępu do centrum administracyjnego. Gdy uzyskują dostęp do centrum administracyjnego, mogą używać tylko funkcji autoryzowanych przez ich rolę specyficzną dla handlu.
- Role specyficzne dla handlu — niektórzy użytkownicy mają przypisane role specyficzne dla handlu. Jeśli użytkownik nie jest administratorem globalnym Administracja istratorem lub administratorem rozliczeń Administracja istratorem, uzyska rolę Administracja istratora nowoczesnego handlu, aby mógł uzyskać dostęp do centrum administracyjnego.
Jeśli rola modern commerce Administracja istrator jest nieprzypisane od użytkownika, utraci dostęp do Centrum administracyjne platformy Microsoft 365. Jeśli zarządzali żadnymi produktami, zarówno dla siebie, jak i dla Twojej organizacji, nie będą mogli nimi zarządzać. Może to obejmować przypisywanie licencji, zmienianie form płatności, płacenie rachunków lub inne zadania do zarządzania subskrypcjami.
Akcje | opis |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Zarządzanie wszystkimi aspektami centrum usługi licencjonowania zbiorowego |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/basic/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator sieci
Użytkownicy w tej roli mogą przeglądać zalecenia dotyczące architektury obwodowej sieci firmy Microsoft, które są oparte na telemetrii sieciowej z lokalizacji użytkowników. Wydajność sieci dla platformy Microsoft 365 opiera się na starannej architekturze obwodowej sieci klienta przedsiębiorstwa, która jest zazwyczaj specyficzna dla lokalizacji użytkownika. Ta rola umożliwia edytowanie odnalezionych lokalizacji użytkownika i konfiguracji parametrów sieciowych dla tych lokalizacji w celu ułatwienia ulepszonych pomiarów telemetrii i zaleceń dotyczących projektowania
Akcje | opis |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Zarządzanie wszystkimi aspektami lokalizacji sieciowych |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator aplikacji pakietu Office
Użytkownicy w tej roli mogą zarządzać ustawieniami chmury aplikacji platformy Microsoft 365. Obejmuje to zarządzanie zasadami w chmurze, samoobsługowe zarządzanie pobieraniem oraz możliwość wyświetlania raportów związanych z aplikacja pakietu Office. Ta rola dodatkowo umożliwia zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi w głównym centrum administracyjnym. Użytkownicy przypisani do tej roli mogą również zarządzać komunikacją nowych funkcji w aplikacja pakietu Office.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.userCommunication/allEntities/allTasks | Odczytywanie i aktualizowanie nowych komunikatów |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator znakowania organizacyjnego
Przypisz rolę Administracja istratora organizacyjnego do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami znakowania organizacyjnego w dzierżawie
- Odczytywanie, tworzenie, aktualizowanie i usuwanie motywów znakowania
- Zarządzanie domyślnym motywem znakowania i wszystkimi motywami lokalizacji znakowania
Akcje | opis |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Tworzenie i usuwanie identyfikatora loginTenantBranding oraz odczytywanie i aktualizowanie wszystkich właściwości |
Osoba zatwierdzająca komunikaty organizacyjne
Przypisz rolę Osoba zatwierdzająca komunikaty organizacyjne do użytkowników, którzy muszą wykonywać następujące zadania:
- Przejrzyj, zatwierdź lub odrzuć nowe komunikaty organizacyjne do dostarczenia w Centrum administracyjne platformy Microsoft 365 przed wysłaniem ich do użytkowników przy użyciu platformy wiadomości organizacyjnych platformy Microsoft 365
- Odczytywanie wszystkich aspektów komunikatów organizacyjnych
- Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Odczytywanie wszystkich aspektów wiadomości organizacyjnych platformy Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Zatwierdzanie lub odrzucanie nowych komunikatów organizacyjnych na potrzeby dostarczania w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Składnik zapisywania komunikatów organizacyjnych
Przypisz rolę Moduł zapisywania komunikatów organizacyjnych do użytkowników, którzy muszą wykonywać następujące zadania:
- Pisanie, publikowanie i usuwanie komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Zarządzanie opcjami dostarczania komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Odczytywanie wyników dostarczania komunikatów organizacji przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Wyświetlanie raportów użycia i większości ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można wprowadzać zmian
Akcje | opis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami tworzenia wiadomości organizacyjnych platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Pomoc techniczna dla partnerów w warstwie 1
Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.
Ważne
Ta rola może resetować hasła i unieważniać tokeny odświeżania tylko dla innych niż administratorzy. Nie należy używać tej roli, ponieważ jest przestarzała.
Pomoc techniczna dla partnerów w warstwie 2
Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.
Ważne
Ta rola może resetować hasła i unieważniać tokeny odświeżania dla wszystkich administratorów i administratorów (w tym globalnych Administracja istratorów). Nie należy używać tej roli, ponieważ jest przestarzała.
Administracja istrator haseł
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają ograniczoną możliwość zarządzania hasłami. Ta rola nie zapewnia możliwości zarządzania żądaniami obsługi ani monitorowania kondycji usługi. To, czy Administracja istrator haseł może zresetować hasło użytkownika, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, dla których Administracja istrator haseł może resetować hasła, zobacz KtoTo może resetować hasła.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
Administracja istrator zarządzania uprawnieniami
Przypisz rolę zarządzanie uprawnieniami Administracja istrator do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra, gdy usługa jest obecna
Dowiedz się więcej o rolach i zasadach zarządzania uprawnieniami na stronie Wyświetlanie informacji o rolach/zasadach.
Akcje | opis |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra |
Administracja istrator platformy Power Platform
Użytkownicy w tej roli mogą tworzyć wszystkie aspekty środowisk, usługi Power Apps, przepływów, ochrony przed utratą danych i zarządzać nimi. Ponadto użytkownicy z tą rolą mogą zarządzać biletami pomocy technicznej i monitorować kondycję usługi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.dynamics365/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 |
microsoft.flow/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.powerApps/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Power Apps |
Administracja istrator drukarki
Użytkownicy tej roli mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia Połączenie or usługi Universal Print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administracja istratory drukarek mają również dostęp do drukowania raportów.
Akcje | opis |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Tworzenie i usuwanie drukarek i łączników oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Print |
Technik drukarki
Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać stanem drukarki w rozwiązaniu Microsoft Universal Print. Mogą również odczytywać wszystkie informacje o łączniku. Nie można ustawić uprawnień użytkownika na drukarkach i udostępniania drukarek.
Akcje | opis |
---|---|
microsoft.azure.print/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników w usłudze Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Odczytywanie wszystkich właściwości drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/register | Rejestrowanie drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/unregister | Wyrejestrowywanie drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/basic/update | Aktualizowanie podstawowych właściwości drukarek w usłudze Microsoft Print |
Administrator uwierzytelniania uprzywilejowanego
Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora uwierzytelniania uprzywilejowanego do użytkowników, którzy muszą wykonać następujące czynności:
- Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla dowolnego użytkownika, w tym globalne Administracja istratory.
- Usuń lub przywróć wszystkich użytkowników, w tym globalnych Administracja istratorów. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
- Wymuś ponowne zarejestrowanie się użytkowników przed istniejącymi poświadczeniami innych niż hasło (np. uwierzytelnianie wieloskładnikowe lub fiDO) i odwoływanie zapamiętania uwierzytelniania wieloskładnikowego na urządzeniu, monitując o uwierzytelnianie wieloskładnikowe podczas następnego logowania wszystkich użytkowników.
- Aktualizowanie właściwości poufnych dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać usługą MFA dla poszczególnych użytkowników w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administracja istrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Nie | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administracja istrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie | Nie. | Nie | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administracja istrator zasad uwierzytelniania | Nie | Nie. | Tak | Tak | Tak | Nie. | Nie |
Administrator użytkowników | Nie | Nie. | Nie. | Nie. | Nie | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Ważne
Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom uwierzytelniania. Za pomocą tej ścieżki Administracja istrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administracja istratory w innych usługach spoza firmy Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender i portal zgodności Microsoft Purview oraz systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Administrator ról uprzywilejowanych
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Microsoft Entra ID, a także w usłudze Microsoft Entra Privileged Identity Management. Mogą tworzyć grupy, które można przypisać do ról firmy Microsoft Entra i zarządzać nimi. Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi Privileged Identity Management i jednostek administracyjnych.
Ważne
Ta rola umożliwia zarządzanie przypisaniami dla wszystkich ról firmy Microsoft Entra, w tym roli globalnego Administracja istratora. Ta rola nie obejmuje żadnych innych uprzywilejowanych możliwości w identyfikatorze Entra firmy Microsoft, takich jak tworzenie lub aktualizowanie użytkowników. Jednak użytkownicy przypisani do tej roli mogą przyznać sobie lub innym dodatkowym uprawnieniem, przypisując dodatkowe role.
Czytelnik raportów
Użytkownicy z tą rolą mogą wyświetlać dane raportowania użycia i pulpit nawigacyjny raportów w Centrum administracyjne platformy Microsoft 365 oraz pakiet kontekstu wdrożenia w usłudze Fabric i Power BI. Ponadto rola zapewnia dostęp do wszystkich dzienników logowania, dzienników inspekcji i raportów aktywności w usłudze Microsoft Entra ID i danych zwracanych przez interfejs API raportowania programu Microsoft Graph. Użytkownik przypisany do roli Czytelnik raportów może uzyskiwać dostęp tylko do odpowiednich metryk użycia i wdrażania. Nie mają żadnych uprawnień administratora do konfigurowania ustawień ani uzyskiwania dostępu do centrów administracyjnych specyficznych dla produktu, takich jak Exchange. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.directory/auditLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń |
microsoft.directory/provisioningLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników aprowizacji |
microsoft.directory/signInReports/allProperties/read | Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator wyszukiwania
Użytkownicy tej roli mają pełny dostęp do wszystkich funkcji zarządzania usługą Microsoft Search w Centrum administracyjne platformy Microsoft 365. Ponadto ci użytkownicy mogą wyświetlać centrum komunikatów, monitorować kondycję usługi i tworzyć żądania obsługi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.search/content/manage | Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Edytor wyszukiwania
Użytkownicy tej roli mogą tworzyć i usuwać zawartość usługi Microsoft Search oraz zarządzać nią w Centrum administracyjne platformy Microsoft 365, w tym zakładki, pytania i lokalizacje.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.search/content/manage | Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zabezpieczeniami w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, uwierzytelnianiem firmy Microsoft Entra, usługą Azure Information Protection i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Monitorowanie zasad związanych z zabezpieczeniami w usługach Microsoft 365 Zarządzanie zagrożeniami bezpieczeństwa i alertami Wyświetlanie raportów |
Identity Protection | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wykonaj wszystkie operacje usługi Identity Protection z wyjątkiem resetowania haseł |
Privileged Identity Management | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Nie można zarządzać przypisaniami ról ani ustawieniami entra firmy Microsoft |
Portal zgodności Microsoft Purview | Zarządzanie zasadami zabezpieczeń Wyświetlanie, badanie i reagowanie na zagrożenia bezpieczeństwa Wyświetlanie raportów |
Azure Advanced Threat Protection | Monitorowanie podejrzanych działań zabezpieczeń i reagowanie na nie |
Ochrona punktu końcowego w usłudze Microsoft Defender | Przypisywanie ról Zarządzanie grupami maszyn Konfigurowanie wykrywania zagrożeń punktu końcowego i zautomatyzowanego korygowania Wyświetlanie, badanie i reagowanie na alerty Wyświetlanie spisu maszyn/urządzeń |
Intune | Wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji Nie można wprowadzić zmian w usłudze Intune |
aplikacje Microsoft Defender dla Chmury | Dodawanie administratorów, dodawanie zasad i ustawień, przekazywanie dzienników i wykonywanie akcji ładu |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Inteligentna blokada | Zdefiniuj próg i czas trwania blokad po wystąpieniu zdarzeń logowania zakończonych niepowodzeniem. |
Ochrona haseł | Skonfiguruj niestandardową listę zakazanych haseł lub lokalną ochronę haseł. |
Synchronizacja między dzierżawami | Skonfiguruj ustawienia dostępu między dzierżawami dla użytkowników w innej dzierżawie. Administracja istratory zabezpieczeń nie mogą bezpośrednio tworzyć i usuwać użytkowników, ale mogą pośrednio tworzyć i usuwać zsynchronizowanych użytkowników z innej dzierżawy, gdy obie dzierżawy są skonfigurowane do synchronizacji między dzierżawami, co jest uprawnieniem uprzywilejowanym. |
Operator zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu w funkcjach związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zagrożeń bezpieczeństwa Zarządzanie ustawieniami zabezpieczeń w portalu usługi Microsoft 365 Defender |
Identity Protection | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wykonaj wszystkie operacje usługi Identity Protection z wyjątkiem konfigurowania lub zmieniania zasad opartych na ryzyku, resetowania haseł i konfigurowania wiadomości e-mail z alertami. |
Privileged Identity Management | Wszystkie uprawnienia roli Czytelnik zabezpieczeń |
Portal zgodności Microsoft Purview | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń |
Ochrona punktu końcowego w usłudze Microsoft Defender | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli. |
Intune | Wszystkie uprawnienia roli Czytelnik zabezpieczeń |
aplikacje Microsoft Defender dla Chmury | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Czytelnik zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają globalny dostęp tylko do odczytu dla funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management, a także możliwość odczytywania raportów logowania i dzienników inspekcji firmy Microsoft Entra oraz w dziennikach inspekcji portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365 Wyświetlanie zagrożeń i alertów zabezpieczeń Wyświetlanie raportów |
Identity Protection | Wyświetlanie wszystkich raportów i przeglądów usługi Identity Protection |
Privileged Identity Management | Ma dostęp tylko do odczytu do wszystkich informacji wyświetlanych w usłudze Microsoft Entra Privileged Identity Management: zasady i raporty dotyczące przypisań ról i przeglądów zabezpieczeń firmy Microsoft Entra. Nie można zarejestrować się w usłudze Microsoft Entra Privileged Identity Management ani wprowadzić w nim żadnych zmian. W portalu usługi Privileged Identity Management lub za pośrednictwem programu PowerShell ktoś z tej roli może aktywować dodatkowe role (na przykład globalny Administracja istrator lub Administracja istrator ról uprzywilejowanych), jeśli użytkownik kwalifikuje się do nich. |
Portal zgodności Microsoft Purview | Wyświetlanie zasad zabezpieczeń Wyświetlanie i badanie zagrożeń bezpieczeństwa Wyświetlanie raportów |
Ochrona punktu końcowego w usłudze Microsoft Defender | Wyświetlanie i badanie alertów Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli. |
Intune | Wyświetla informacje o użytkownikach, urządzeniach, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w usłudze Intune. |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia do odczytu. |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Administracja istrator pomocy technicznej usługi
Użytkownicy z tą rolą mogą tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz wyświetlać pulpit nawigacyjny usługi i centrum komunikatów w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
Ta rola nosiła wcześniej nazwę Service Administracja istrator w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Zmieniono jego nazwę na Service Support Administracja istrator w celu dopasowania do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Azure AD PowerShell.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator programu SharePoint
Użytkownicy z tą rolą mają uprawnienia globalne w ramach Microsoft Office SharePoint Online, gdy usługa jest obecna, a także możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Administracja istrator usługi sharePoint. W witrynie Azure Portal nosi nazwę SharePoint Administracja istrator.
Uwaga
Ta rola udziela również uprawnień o określonym zakresie do interfejsu API programu Microsoft Graph dla usługi Microsoft Intune, umożliwiając zarządzanie i konfigurację zasad związanych z zasobami programu SharePoint i usługi OneDrive.
Akcje | opis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365 |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator usługi SharePoint Embedded
Przypisz rolę Administracja istratora programu SharePoint Embedded do użytkowników, którzy muszą wykonywać następujące zadania:
- Wykonywanie wszystkich zadań przy użyciu programu PowerShell, interfejsu API programu Microsoft Graph lub centrum administracyjnego programu SharePoint
- Zarządzanie, konfigurowanie i obsługa kontenerów programu SharePoint Embedded
- Wyliczanie kontenerów programu SharePoint Embedded i zarządzanie nimi
- Wyliczanie uprawnień kontenerów sharePoint Embedded i zarządzanie nimi
- Zarządzanie magazynem kontenerów sharePoint Embedded w dzierżawie
- Przypisywanie zasad zabezpieczeń i zgodności w kontenerach programu SharePoint Embedded
- Stosowanie zasad zabezpieczeń i zgodności w kontenerach usługi SharePoint Embedded w dzierżawie
Akcje | opis |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami kontenerów sharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Skype dla firm Administracja istrator
Użytkownicy z tą rolą mają uprawnienia globalne w ramach usługi Microsoft Skype dla firm, gdy usługa jest obecna, a także zarządzają atrybutami użytkownika specyficznymi dla skype'a w identyfikatorze Entra firmy Microsoft. Ponadto ta rola zapewnia możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi oraz uzyskiwania dostępu do aplikacji Teams i Skype dla firm centrum administracyjnego. Konto musi być również licencjonowane dla usługi Teams lub nie może uruchamiać poleceń cmdlet programu PowerShell w usłudze Teams. Aby uzyskać więcej informacji, zobacz Skype dla firm Online Administracja i informacje o licencjonowaniu usługi Teams na stronie Skype dla firm licencjonowania dodatku.
Uwaga
W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Lync Service Administracja istrator. W witrynie Azure Portal nosi nazwę Skype dla firm Administracja istrator.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator usługi Teams
Użytkownicy w tej roli mogą zarządzać wszystkimi aspektami obciążenia usługi Microsoft Teams za pośrednictwem centrum administracyjnego usługi Microsoft Teams i Skype dla firm oraz odpowiednich modułów programu PowerShell. Obejmuje to między innymi wszystkie narzędzia do zarządzania związane z telefonią, wiadomościami, spotkaniami i samymi zespołami. Ta rola dodatkowo zapewnia możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/allEntities/allProperties/allTasks | Zarządzanie wszystkimi zasobami w usłudze Teams |
microsoft.directory/crossTenantAccessPolicy/standard/read | Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/partners/create | Tworzenie zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/pendingExternalUserProfiles/create | Tworzenie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/externalUserProfiles/standard/read | Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/externalUserProfiles/basic/update | Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/externalUserProfiles/delete | Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Odczytywanie standardowych właściwości zasad udzielania uprawnień |
Administracja istrator komunikacji usługi Teams
Użytkownicy w tej roli mogą zarządzać aspektami obciążenia usługi Microsoft Teams powiązanymi z telefonią głosową i telefonią. Obejmuje to narzędzia do zarządzania na potrzeby przypisywania numerów telefonów, zasad głosowych i spotkań oraz pełnego dostępu do zestawu narzędzi analizy połączeń.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Zarządzanie spotkaniami, w tym zasadami spotkań, konfiguracjami i mostkami konferencji |
microsoft.teams/voice/allProperties/allTasks | Zarządzanie głosem, w tym zasadami połączeń i spisem numerów telefonów i przypisaniem |
Inżynier pomocy technicznej aplikacji Teams Communications
Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać pełne informacje o rekordzie połączeń dla wszystkich zaangażowanych uczestników. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams
Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać tylko szczegóły użytkownika w wywołaniu dla określonego użytkownika, którego szukali. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/standard/read | Odczytywanie podstawowych danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
Usługa Teams Devices Administracja istrator
Użytkownicy z tą rolą mogą zarządzać urządzeniami certyfikowanymi przez usługę Teams z poziomu centrum administracyjnego usługi Teams. Ta rola umożliwia wyświetlanie wszystkich urządzeń na pierwszy rzut oka z możliwością wyszukiwania i filtrowania urządzeń. Użytkownik może sprawdzić szczegóły każdego urządzenia, w tym zalogowanego konta, tworzenia i modelowania urządzenia. Użytkownik może zmienić ustawienia na urządzeniu i zaktualizować wersje oprogramowania. Ta rola nie udziela uprawnień do sprawdzania aktywności usługi Teams i jakości wywołań urządzenia.
Akcje | opis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/devices/standard/read | Zarządzanie wszystkimi aspektami urządzeń certyfikowanych przez usługę Teams, w tym zasadami konfiguracji |
Twórca dzierżawy
Przypisz rolę Twórca dzierżawy do użytkowników, którzy muszą wykonywać następujące zadania:
- Utwórz dzierżawy usługi Microsoft Entra i Azure Active Directory B2C, nawet jeśli przełącznik tworzenia dzierżawy jest wyłączony w ustawieniach użytkownika
Uwaga
Twórcy dzierżawy otrzymają rolę administratora globalnego w nowo utworzonych dzierżawach.
Akcje | opis |
---|---|
microsoft.directory/tenantManagement/tenants/create | Tworzenie nowych dzierżaw w usłudze Microsoft Entra ID |
Czytelnik raportów podsumowania użycia
Przypisz rolę Czytelnik raportów podsumowania użycia do użytkowników, którzy muszą wykonywać następujące zadania w Centrum administracyjne platformy Microsoft 365:
- Wyświetlanie raportów użycia i oceny wdrożenia
- Odczytywanie szczegółowych informacji organizacji, ale nie dane osobowe użytkowników
Ta rola umożliwia tylko użytkownikom wyświetlanie danych na poziomie organizacji z następującymi wyjątkami:
- Użytkownicy będący członkami mogą wyświetlać dane i ustawienia zarządzania użytkownikami.
- Użytkownicy-goście przypisani do tej roli nie mogą wyświetlać danych i ustawień zarządzania użytkownikami.
Akcje | opis |
---|---|
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator użytkowników
Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora użytkownika do użytkowników, którzy muszą wykonać następujące czynności:
Uprawnienie | Więcej informacji |
---|---|
Tworzenie użytkowników | |
Aktualizowanie większości właściwości użytkownika dla wszystkich użytkowników, w tym wszystkich administratorów | KtoTo może wykonywać poufne akcje |
Aktualizowanie poufnych właściwości (w tym głównej nazwy użytkownika) dla niektórych użytkowników | KtoTo może wykonywać poufne akcje |
Wyłączanie lub włączanie niektórych użytkowników | KtoTo może wykonywać poufne akcje |
Usuwanie lub przywracanie niektórych użytkowników | KtoTo może wykonywać poufne akcje |
Tworzenie widoków użytkowników i zarządzanie nimi | |
Tworzenie wszystkich grup i zarządzanie nimi | |
Przypisywanie i odczytywanie licencji dla wszystkich użytkowników, w tym wszystkich administratorów | |
Resetowanie haseł | Kto może resetować hasła |
Unieważnianie tokenów odświeżania | Kto może resetować hasła |
Aktualizowanie kluczy urządzeń (FIDO) | |
Aktualizowanie zasad wygasania haseł | |
Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365 | |
Monitorowanie kondycji usługi |
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać usługą MFA.
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
- Nie można zarządzać udostępnionymi skrzynkami pocztowymi.
Ważne
Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom użytkowników. Za pomocą tej ścieżki użytkownik Administracja istrator może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Administracja istrator wizyt wirtualnych
Użytkownicy z tą rolą mogą wykonywać następujące zadania:
- Zarządzanie i konfigurowanie wszystkich aspektów wizyt wirtualnych w rezerwacjach w Centrum administracyjne platformy Microsoft 365 i w łączniku EHR usługi Teams
- Wyświetlanie raportów użycia wizyt wirtualnych w centrum administracyjnym usługi Teams, Centrum administracyjne platformy Microsoft 365, sieci szkieletowej i usługi Power BI
- Wyświetlanie funkcji i ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można edytować żadnych ustawień
Wirtualne wizyty to prosty sposób planowania spotkań online i wideo dla pracowników i uczestników oraz zarządzania nimi. Na przykład raportowanie użycia może pokazać, jak wysyłanie wiadomości SMS sms przed terminami może zmniejszyć liczbę osób, które nie są wyświetlane w przypadku terminów.
Akcje | opis |
---|---|
microsoft.virtualVisits/allEntities/allProperties/allTasks | Zarządzanie informacjami i metrykami wizyt wirtualnych z centrów administracyjnych lub aplikacji Wirtualne wizyty |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Viva Goals Administracja istrator
Przypisz rolę Administracja istratora Viva Goals do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie i konfigurowanie wszystkich aspektów aplikacji Microsoft Viva Goals
- Konfigurowanie ustawień administratora aplikacji Microsoft Viva Goals
- Przeczytaj informacje o dzierżawie firmy Microsoft Entra
- Monitorowanie kondycji usługi platformy Microsoft 365
- Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w aplikacji Viva Goals i Introduction to Microsoft Viva Goals (Role i uprawnienia w usłudze Viva Goals) i Introduction to Microsoft Viva Goals (Wprowadzenie do celów Platformy Microsoft Viva).
Akcje | opis |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami celów Platformy Microsoft Viva |
Administracja istrator Viva Pulse
Przypisz rolę Administracja istratora Viva Pulse do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie i konfigurowanie wszystkich ustawień aplikacji Viva Pulse
- Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
- Odczytywanie i konfigurowanie usługi Azure Service Health
- Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
- Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
Aby uzyskać więcej informacji, zobacz Przypisywanie administratora Viva Pulse w Centrum administracyjne platformy Microsoft 365.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami platformy Microsoft Viva Pulse |
Windows 365 Administracja istrator
Użytkownicy z tą rolą mają uprawnienia globalne w zasobach systemu Windows 365, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi.
Ta rola może tworzyć grupy zabezpieczeń i zarządzać nimi, ale nie ma uprawnień administratora do grup platformy Microsoft 365. Oznacza to, że administratorzy nie mogą aktualizować właścicieli ani członkostwa w grupach platformy Microsoft 365 w organizacji. Mogą jednak zarządzać utworzoną przez siebie grupą platformy Microsoft 365, która jest częścią swoich uprawnień użytkownika końcowego. Dlatego każda utworzona grupa platformy Microsoft 365 (a nie grupa zabezpieczeń) jest liowana względem limitu przydziału 250.
Przypisz rolę Administracja istratora systemu Windows 365 do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie Komputer w chmurze Windows 365 w usłudze Microsoft Intune
- Rejestrowanie urządzeń i zarządzanie nimi w identyfikatorze Entra firmy Microsoft, w tym przypisywanie użytkowników i zasad
- Tworzenie grup zabezpieczeń i zarządzanie nimi, ale nie grup z możliwością przypisywania ról
- Wyświetlanie podstawowych właściwości w Centrum administracyjne platformy Microsoft 365
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.directory/deletedItems.devices/delete | Trwałe usuwanie urządzeń, których nie można już przywrócić |
microsoft.directory/deletedItems.devices/restore | Przywracanie nietrwałych usuniętych urządzeń do stanu pierwotnego |
microsoft.directory/devices/create | Tworzenie urządzeń (rejestrowanie w usłudze Microsoft Entra ID) |
microsoft.directory/devices/delete | Usuwanie urządzeń z identyfikatora entra firmy Microsoft |
microsoft.directory/devices/disable | Wyłączanie urządzeń w identyfikatorze Entra firmy Microsoft |
microsoft.directory/devices/enable | Włączanie urządzeń w identyfikatorze Entra firmy Microsoft |
microsoft.directory/devices/basic/update | Aktualizowanie podstawowych właściwości na urządzeniach |
microsoft.directory/devices/extensionAttributeSet1/update | Aktualizowanie rozszerzeniaAttribute1 do właściwości extensionAttribute5 na urządzeniach |
microsoft.directory/devices/extensionAttributeSet2/update | Aktualizowanie rozszerzeniaAttribute6 do właściwości extensionAttribute10 na urządzeniach |
microsoft.directory/devices/extensionAttributeSet3/update | Aktualizowanie rozszerzeniaAttribute11 do właściwości extensionAttribute15 na urządzeniach |
microsoft.directory/devices/registeredOwners/update | Aktualizowanie zarejestrowanych właścicieli urządzeń |
microsoft.directory/devices/registeredUsers/update | Aktualizowanie zarejestrowanych użytkowników urządzeń |
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/classification/update | Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/visibility/update | Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/deviceManagementPolicies/standard/read | Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi |
microsoft.directory/deviceRegistrationPolicy/standard/read | Odczytywanie standardowych właściwości zasad rejestracji urządzeń |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.cloudPC/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami systemu Windows 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administracja istrator wdrażania usługi Windows Update
Użytkownicy w tej roli mogą tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania Windows Update dla firm. Usługa wdrażania umożliwia użytkownikom definiowanie ustawień dotyczących sposobu wdrażania i sposobu wdrażania aktualizacji oraz określanie, które aktualizacje są oferowane grupom urządzeń w dzierżawie. Umożliwia również użytkownikom monitorowanie postępu aktualizacji.
Akcje | opis |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update |
Administracja istrator usługi Yammer
Przypisz rolę Administracja istratora usługi Yammer do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami usługi Yammer
- Tworzenie i przywracanie Grupy Microsoft 365 oraz zarządzanie nimi, ale nie grupy z możliwością przypisywania ról
- Wyświetlanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
- Wyświetlanie anonsów w Centrum wiadomości, ale nie anonsów zabezpieczeń
- Wyświetlanie kondycji usług
Akcje | opis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami usługi Yammer |
Przestarzałe role
Następujące role nie powinny być używane. Zostały one wycofane i zostaną usunięte z identyfikatora Entra firmy Microsoft w przyszłości.
- Administracja istrator licencji adhoc
- Dołączanie urządzenia
- Menedżer urządzeń
- Użytkownicy urządzeń
- Autor zweryfikowanego użytkownika pocztą e-mail
- Administracja istrator skrzynki pocztowej
- Dołączanie urządzenia w miejscu pracy
Role nie są wyświetlane w portalu
Nie każda rola zwracana przez program PowerShell lub interfejs API programu MS Graph jest widoczna w witrynie Azure Portal. Poniższa tabela organizuje te różnice.
Nazwa interfejsu API | Nazwa witryny Azure Portal | Uwagi |
---|---|---|
Dołączanie urządzenia | Przestarzałe | Dokumentacja przestarzałych ról |
Menedżer urządzeń | Przestarzałe | Dokumentacja przestarzałych ról |
Użytkownicy urządzeń | Przestarzałe | Dokumentacja przestarzałych ról |
Konta synchronizacji katalogów | Nie pokazano, ponieważ nie należy go używać | Dokumentacja kont synchronizacji katalogów |
Użytkownik-gość | Nie pokazano, ponieważ nie można go użyć | NA |
Pomoc techniczna dla partnerów w warstwie 1 | Nie pokazano, ponieważ nie należy go używać | Dokumentacja pomocy technicznej dla partnerów w warstwie 1 |
Pomoc techniczna dla partnerów w warstwie 2 | Nie pokazano, ponieważ nie należy go używać | Dokumentacja pomocy technicznej dla partnerów w warstwie 2 |
Użytkownik-gość z ograniczeniami | Nie pokazano, ponieważ nie można go użyć | NA |
User | Nie pokazano, ponieważ nie można go użyć | NA |
Dołączanie urządzenia w miejscu pracy | Przestarzałe | Dokumentacja przestarzałych ról |