Wbudowane role usługi Microsoft Entra

Jeśli w usłudze Microsoft Entra ID inny administrator lub inny administrator musi zarządzać zasobami firmy Microsoft Entra, przypiszesz im rolę Entra firmy Microsoft, która zapewnia potrzebne im uprawnienia. Można na przykład przypisać role, aby zezwolić na dodawanie lub zmienianie użytkowników, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników lub zarządzanie nazwami domen.

W tym artykule wymieniono wbudowane role firmy Microsoft Entra, które można przypisać, aby umożliwić zarządzanie zasobami firmy Microsoft Entra. Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról usługi Microsoft Entra do użytkowników. Jeśli szukasz ról do zarządzania zasobami platformy Azure, zobacz Role wbudowane platformy Azure.

Wszystkie role

Rola opis Identyfikator szablonu
Administrator aplikacji Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi.
Ikona etykiety uprzywilejowanej.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Deweloper aplikacji Może tworzyć rejestracje aplikacji niezależnie od ustawienia "Użytkownicy mogą rejestrować aplikacje".
Ikona etykiety uprzywilejowanej.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor ładunku ataku Może tworzyć ładunki ataku, które administrator może zainicjować później. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administracja istrator symulacji ataków Może tworzyć wszystkie aspekty kampanii symulacji ataków i zarządzać nimi. c430b396-e693-46cc-96f3-db01bf8bb62a
Administracja istrator przypisania atrybutów Przypisz niestandardowe klucze i wartości atrybutów zabezpieczeń do obsługiwanych obiektów firmy Microsoft Entra. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Czytelnik przypisań atrybutów Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administracja istrator definicji atrybutu Definiowanie definicji niestandardowych atrybutów zabezpieczeń i zarządzanie nimi. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Czytelnik definicji atrybutów Przeczytaj definicję niestandardowych atrybutów zabezpieczeń. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administracja istrator dziennika atrybutów Przeczytaj dzienniki inspekcji i skonfiguruj ustawienia diagnostyczne zdarzeń związanych z niestandardowymi atrybutami zabezpieczeń. 5b784334-f94b-471a-a387-e7219fc49ca2
Czytelnik dziennika atrybutów Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Administracja istrator uwierzytelniania Może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem.
Ikona etykiety uprzywilejowanej.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Rozszerzalność uwierzytelniania Administracja istrator Dostosowywanie środowisk logowania i rejestracji dla użytkowników przez tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi.
Ikona etykiety uprzywilejowanej.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Administracja istrator zasad uwierzytelniania Umożliwia tworzenie zasad metod uwierzytelniania, ustawień uwierzytelniania wieloskładnikowego dla całej dzierżawy, zasad ochrony haseł i weryfikowalnych poświadczeń. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Usługa Azure DevOps Administracja istrator Może zarządzać zasadami i ustawieniami usługi Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administracja istrator usługi Azure Information Protection Może zarządzać wszystkimi aspektami produktu Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Zestaw kluczy IEF B2C Administracja istrator Może zarządzać wpisami tajnymi federacji i szyfrowania w programie Identity Experience Framework (IEF).
Ikona etykiety uprzywilejowanej.
aaf43236-0c0d-4d5f-883a-6955382ac081
Administracja istrator zasad IEF B2C Może tworzyć zasady struktury zaufania i zarządzać nimi w programie Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrator rozliczeń Może wykonywać typowe zadania związane z rozliczeniami, takie jak aktualizowanie informacji o płatności. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administracja istrator usługi Cloud App Security Może zarządzać wszystkimi aspektami produktu Defender dla Chmury Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrator aplikacji w chmurze Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzać nimi z wyjątkiem serwera proxy aplikacji.
Ikona etykiety uprzywilejowanej.
158c047a-c907-4556-b7ef-446551a6b5f7
Administracja istrator urządzeń w chmurze Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID.
Ikona etykiety uprzywilejowanej.
7698a772-787b-4ac8-901f-60d6b08affd2
Administracja istrator zgodności Może odczytywać konfigurację zgodności i raporty oraz zarządzać nimi w usłudze Microsoft Entra ID i Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administracja istrator danych zgodności Tworzy zawartość zgodności i zarządza nią. e6d1a23a-da11-4be4-9570-befc86d067a7
Administracja istrator dostępu warunkowego Może zarządzać funkcjami dostępu warunkowego.
Ikona etykiety uprzywilejowanej.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Osoba zatwierdzająca dostęp do skrytki klienta Może zatwierdzić żądania pomocy technicznej firmy Microsoft w celu uzyskania dostępu do danych organizacji klientów. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administracja istrator usługi Desktop Analytics Może uzyskiwać dostęp do narzędzi i usług do zarządzania komputerami, a także zarządzać nimi. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Czytelnicy katalogów Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości. 88d8e3e3e3-8f55-4a1e-953a-9b9898b8876b
Konta synchronizacji katalogów Używane tylko przez usługę Microsoft Entra Połączenie.
Ikona etykiety uprzywilejowanej.
d29b2b05-8046-44ba-8758-1e26182fcf32
Autorzy katalogów Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników.
Ikona etykiety uprzywilejowanej.
9360feb5-f418-4baa-8175-e2a00bac4301
Administracja istrator nazwy domeny Może zarządzać nazwami domen w chmurze i lokalnie.
Ikona etykiety uprzywilejowanej.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 Administracja istrator Może zarządzać wszystkimi aspektami produktu Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central Administracja istrator Może uzyskiwać dostęp do środowisk usługi Dynamics 365 Business Central i wykonywać wszystkie zadania administracyjne w środowiskach. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Administracja istrator usługi Edge Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administracja istrator programu Exchange Może zarządzać wszystkimi aspektami produktu Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administracja istrator adresata programu Exchange Może tworzyć lub aktualizować adresatów usługi Exchange Online w organizacji usługi Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Przepływ użytkownika identyfikatora zewnętrznego Administracja istrator Może tworzyć wszystkie aspekty przepływów użytkowników i zarządzać nimi. 6e591065-9bad-43ed-90f3-e9424366d2f0
Atrybut przepływu użytkownika identyfikatora zewnętrznego Administracja istrator Może tworzyć schemat atrybutów dostępny dla wszystkich przepływów użytkowników i zarządzać nim. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Dostawca tożsamości zewnętrznej Administracja istrator Może skonfigurować dostawców tożsamości do użycia w federacji bezpośredniej.
Ikona etykiety uprzywilejowanej.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Administracja istrator sieci szkieletowej Może zarządzać wszystkimi aspektami produktów Fabric i Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Globalny administrator usługi Może zarządzać wszystkimi aspektami identyfikatora Entra firmy Microsoft i usługi firmy Microsoft, które używają tożsamości Firmy Microsoft Entra.
Ikona etykiety uprzywilejowanej.
62e90394-69f5-4237-9190-012177145e10
Czytelnik globalny Może odczytać wszystko, co może Administracja istrator globalny, ale nie może nic zaktualizować.
Ikona etykiety uprzywilejowanej.
f2ef992c-3afb-46b9-b7cf-a126eee74c451
Globalny Administracja istrator bezpiecznego dostępu Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi, w tym zarządzanie dostępem do publicznych i prywatnych punktów końcowych. ac434307-12b9-4fa1-a708-88bf58caabc1
Administracja istrator grup Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. fdd7a751-b60b-444a-984c-02652fe8fa1c
Osoba zapraszana gościa Może zapraszać użytkowników-gości niezależnie od ustawienia „członkowie mogą zapraszać gości”. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Pomoc techniczna Administracja istrator Może resetować hasła dla użytkowników niebędących administratorami i administratorów pomocy technicznej.
Ikona etykiety uprzywilejowanej.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Administracja istrator tożsamości hybrydowej Może zarządzać aprowizowaniem usługi Active Directory w chmurze firmy Microsoft Entra, Microsoft Entra Połączenie, uwierzytelnianiem przekazywanym (PTA), synchronizacją skrótów haseł (PHS), bezproblemowym logowaniem jednokrotnym (Bezproblemowe logowanie jednokrotne) i ustawieniami federacji. Nie ma dostępu do zarządzania usługą Microsoft Entra Połączenie Health.
Ikona etykiety uprzywilejowanej.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Zarządzanie tożsamościami Administracja istrator Zarządzanie dostępem przy użyciu identyfikatora Entra firmy Microsoft na potrzeby scenariuszy zapewniania ładu tożsamości. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Szczegółowe informacje Administracja istrator Ma dostęp administracyjny w aplikacji microsoft 365 Szczegółowe informacje. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
analityk Szczegółowe informacje Uzyskaj dostęp do możliwości analitycznych w aplikacji Microsoft Viva Szczegółowe informacje i uruchom zapytania niestandardowe. 25df335f-86eb-4119-b717-0ff02de207e9
lider biznesowy Szczegółowe informacje Może wyświetlać i udostępniać pulpity nawigacyjne i szczegółowe informacje za pośrednictwem aplikacji platformy Microsoft 365 Szczegółowe informacje. 31e939ad-9672-4796-9c2e-873181342d2d2d
Administracja istrator usługi Intune Może zarządzać wszystkimi aspektami produktu Intune.
Ikona etykiety uprzywilejowanej.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala Administracja istrator Może zarządzać ustawieniami Aplikacja Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administracja istrator wiedzy Może konfigurować wiedzę, uczenie się i inne inteligentne funkcje. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Menedżer wiedzy Umożliwia organizowanie, tworzenie i promowanie tematów i wiedzy oraz zarządzanie nimi. 744ec460-397e-42ad-a462-8b3f9747a02c
Administracja istrator licencji Może zarządzać licencjami produktów dla użytkowników i grup. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Przepływy pracy cyklu życia Administracja istrator Utwórz wszystkie aspekty przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzaj nimi w identyfikatorze Entra firmy Microsoft. 59d46f88-662b-457b-bceb-5c3809e5908f
Czytelnik prywatności Centrum wiadomości Może odczytywać tylko komunikaty i aktualizacje zabezpieczeń w Centrum wiadomości usługi Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Czytelnik Centrum wiadomości Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Administracja istrator migracji platformy Microsoft 365 Wykonaj wszystkie funkcje migracji, aby przeprowadzić migrację zawartości do platformy Microsoft 365 przy użyciu programu Migration Manager. 8c8b803f-96e1-4129-9349-20738d9f9652
Lokalny Administracja istrator urządzenia dołączonego do firmy Microsoft Użytkownicy przypisani do tej roli są dodawani do lokalnej grupy administratorów na urządzeniach dołączonych do firmy Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administracja istrator gwarancji sprzętu firmy Microsoft Tworzenie i zarządzanie wszystkimi roszczeniami dotyczącymi gwarancji i uprawnieniami do sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Specjalista od gwarancji sprzętowych firmy Microsoft Tworzenie i odczytywanie oświadczeń dotyczących gwarancji dotyczących sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Modern Commerce Administracja istrator Może zarządzać zakupami komercyjnymi dla firmy, działu lub zespołu. d24aef57-1500-4070-84db-2666f29cf966
Administracja istrator sieci Może zarządzać lokalizacjami sieciowymi i przeglądać szczegółowe informacje dotyczące projektowania sieci przedsiębiorstwa dla aplikacji Microsoft 365 Software as a Service. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administracja istrator aplikacji pakietu Office Może zarządzać usługami w chmurze aplikacja pakietu Office, w tym zarządzanie zasadami i ustawieniami oraz zarządzać możliwością wybierania, co nowego i publikowania zawartości funkcji na urządzeniach użytkowników końcowych. 2b745bdf-0803-4d80-aa65-822c4493daac
Administracja istrator znakowania organizacyjnego Zarządzaj wszystkimi aspektami znakowania organizacyjnego w dzierżawie. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Składnik zapisywania komunikatów organizacyjnych Pisanie, publikowanie i przeglądanie komunikatów organizacyjnych dla użytkowników końcowych za pośrednictwem powierzchni produktów firmy Microsoft oraz zarządzanie nimi. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Pomoc techniczna dla partnerów w warstwie 1 Nie należy używać — nie jest przeznaczona do użytku ogólnego.
Ikona etykiety uprzywilejowanej.
4ba39ca4-527c-499a-b93d-d9b492c50246
Pomoc techniczna dla partnerów w warstwie 2 Nie należy używać — nie jest przeznaczona do użytku ogólnego.
Ikona etykiety uprzywilejowanej.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administracja istrator haseł Może resetować hasła dla administratorów i Administracja istratorów haseł.
Ikona etykiety uprzywilejowanej.
966707d0-3269-4727-9be2-8c3a10f19b9d
Administracja istrator zarządzania uprawnieniami Zarządzaj wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Administracja istrator platformy Power Platform Może tworzyć wszystkie aspekty usług Microsoft Dynamics 365, Power Apps i Power Automate oraz zarządzać nimi. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administracja istrator drukarki Może zarządzać wszystkimi aspektami drukarek i łączników drukarek. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technik drukarki Umożliwia rejestrowanie i wyrejestrowywanie drukarek oraz aktualizowanie stanu drukarki. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administracja istrator uwierzytelniania uprzywilejowanego Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator).
Ikona etykiety uprzywilejowanej.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrator ról uprzywilejowanych Może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management.
Ikona etykiety uprzywilejowanej.
e8611ab8-c189-46e8-94e1-60213ab1f814
Czytelnik raportów Może odczytywać raporty logowania i inspekcji. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administracja istrator wyszukiwania Może tworzyć wszystkie aspekty ustawień usługi Microsoft Search i zarządzać nimi. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Edytor wyszukiwania Może tworzyć treści redakcyjne, takie jak zakładki, Q i As, lokalizacje, plan podłogowy i zarządzać nimi. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrator zabezpieczeń Może odczytywać informacje o zabezpieczeniach i raporty oraz zarządzać konfiguracją w usłudze Microsoft Entra ID i Office 365.
Ikona etykiety uprzywilejowanej.
194ae4cb-b126-40b2-bd5b-6091b380977d
Operator zabezpieczeń Tworzy zdarzenia zabezpieczeń i zarządza nimi.
Ikona etykiety uprzywilejowanej.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Czytelnik zabezpieczeń Może odczytywać informacje o zabezpieczeniach i raporty w usłudze Microsoft Entra ID i Office 365.
Ikona etykiety uprzywilejowanej.
5d6b6bb7-de71-4623-b4af-96380a352509
Administracja istrator pomocy technicznej usługi Może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej. f023fd81-a637-4b56-95fd-791ac0226033
Administracja istrator programu SharePoint Może zarządzać wszystkimi aspektami usługi SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype dla firm Administracja istrator Może zarządzać wszystkimi aspektami produktu Skype dla firm. 75941009-915a-4869-abe7-691bff18279e
Administracja istrator usługi Teams Może zarządzać usługą Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administracja istrator komunikacji usługi Teams Może zarządzać funkcjami połączeń i spotkań w usłudze Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Inżynier pomocy technicznej aplikacji Teams Communications Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu zaawansowanych narzędzi. f70938a0-fc10-4177-9e90-2178f8765737
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu podstawowych narzędzi. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Usługa Teams Devices Administracja istrator Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Twórca dzierżawy Utwórz nowe dzierżawy usługi Microsoft Entra lub Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Czytelnik raportów podsumowania użycia Zapoznaj się z raportami użycia i wynikiem wdrożenia, ale nie można uzyskać dostępu do szczegółów użytkownika. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrator użytkowników Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów.
Ikona etykiety uprzywilejowanej.
fe930be7-5e62-47db-91af-98c3a49a38b1
Administracja istrator wizyt wirtualnych Zarządzaj i udostępniaj informacje o wirtualnych odwiedzinach oraz metryki z centrów administracyjnych lub aplikacji Wirtualne wizyty. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals Administracja istrator Zarządzanie wszystkimi aspektami celów Microsoft Viva Goals i konfigurowanie ich. 92b086b3-e367-4ef2-b869-1de128fb986e
Administracja istrator Viva Pulse Może zarządzać wszystkimi ustawieniami aplikacji Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365 Administracja istrator Może aprowizować wszystkie aspekty komputerów w chmurze i zarządzać nimi. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administracja istrator wdrażania usługi Windows Update Może tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania windows Update dla firm. 32696413-001a-46ae-978c-ce0f6b3620d2
Administracja istrator usługi Yammer Zarządzanie wszystkimi aspektami usługi Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrator aplikacji

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy mający tę rolę mogą tworzyć wszystkie aspekty aplikacji dla przedsiębiorstw, rejestracje aplikacji oraz ustawienia serwera proxy aplikacji oraz nimi zarządzać. Należy pamiętać, że użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji ani aplikacji dla przedsiębiorstw.

Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph.

Ważne

Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład aplikacji innych niż Microsoft lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak globalny Administracja istrator.

Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli application Administracja istrator daje im możliwość personifikacji tożsamości aplikacji.

Akcje opis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w identyfikatorze Entra firmy Microsoft
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych przy użyciu identyfikatora Entra firmy Microsoft
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuń wszystkie typy aplikacji
microsoft.directory/applications/applicationProxy/read Odczytywanie wszystkich właściwości serwera proxy aplikacji
microsoft.directory/applications/applicationProxy/update Aktualizowanie wszystkich właściwości serwera proxy aplikacji
microsoft.directory/applications/applicationProxyAuthentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/applicationProxySslCertificate/update Aktualizowanie ustawień certyfikatu SSL dla serwera proxy aplikacji
microsoft.directory/applications/applicationProxyUrl Ustawienia/update Aktualizowanie ustawień adresu URL serwera proxy aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/verification/update Aktualizowanie właściwości aplikacjiweryfikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/connectors/create Tworzenie łączników serwera proxy aplikacji
microsoft.directory/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/create Tworzenie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/delete Usuwanie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/update Aktualizowanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi
Ikona etykiety uprzywilejowanej.
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie nietrwałych usuniętych aplikacji do stanu pierwotnego
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/applicationPolicies/create Tworzenie zasad aplikacji
microsoft.directory/applicationPolicies/delete Usuwanie zasad aplikacji
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owner/read Odczytywanie właścicieli zasad aplikacji
microsoft.directory/applicationPolicies/policyAppliedTo/read Odczytywanie zasad aplikacji zastosowanych do listy obiektów
microsoft.directory/applicationPolicies/basic/update Aktualizowanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owner/update Aktualizowanie właściwości właściciela zasad aplikacji
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji oraz zarządzanie nimi.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udzielanie zgody na uprawnienia aplikacji i delegowane uprawnienia w imieniu dowolnego użytkownika lub wszystkich użytkowników, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owner/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Deweloper aplikacji

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą tworzyć rejestracje aplikacji, gdy ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość Nie. Ta rola udziela również uprawnień do wyrażania zgody w imieniu użytkownika, gdy ustawienie "Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu", ma wartość Nie. Użytkownicy przypisani do tej roli są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji.

Akcje opis
microsoft.directory/applications/createAsOwner Tworzenie wszystkich typów aplikacji, a twórca jest dodawany jako pierwszy właściciel
microsoft.directory/oAuth2PermissionGrants/createAsOwner Tworzenie dotacji uprawnień protokołu OAuth 2.0 z twórcą jako pierwszy właściciel
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/createAsOwner Tworzenie jednostek usługi z twórcą jako pierwszym właścicielem

Autor ładunku ataku

Użytkownicy w tej roli mogą tworzyć ładunki ataków, ale nie uruchamiać ani planować ich. Ładunki ataku są następnie dostępne dla wszystkich administratorów w dzierżawie, którzy mogą ich używać do tworzenia symulacji.

Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.

Akcje opis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń

Administracja istrator symulacji ataków

Użytkownicy w tej roli mogą tworzyć i zarządzać wszystkimi aspektami tworzenia symulacji ataku, uruchamiania/planowania symulacji oraz przeglądu wyników symulacji. Członkowie tej roli mają dostęp do wszystkich symulacji w dzierżawie.

Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.

Akcje opis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Tworzenie szablonów symulacji ataku i zarządzanie nimi w symulatorze ataku

Administracja istrator przypisania atrybutów

Użytkownicy z tą rolą mogą przypisywać i usuwać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów firmy Microsoft Entra, takich jak użytkownicy, jednostki usługi i urządzenia.

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń
microsoft.directory/devices/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/devices/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/servicePrincipals/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/users/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników
microsoft.directory/users/customSecurityAttributes/update Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników

Czytelnik przypisań atrybutów

Użytkownicy z tą rolą mogą odczytywać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra.

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń
microsoft.directory/devices/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń
microsoft.directory/servicePrincipals/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi
microsoft.directory/users/customSecurityAttributes/read Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników

Administracja istrator definicji atrybutu

Użytkownicy z tą rolą mogą zdefiniować prawidłowy zestaw niestandardowych atrybutów zabezpieczeń, które można przypisać do obsługiwanych obiektów Firmy Microsoft Entra. Ta rola może również aktywować i dezaktywować niestandardowe atrybuty zabezpieczeń.

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/attributeSets/allProperties/allTasks Zarządzanie wszystkimi aspektami zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń

Czytelnik definicji atrybutów

Użytkownicy z tą rolą mogą odczytywać definicję niestandardowych atrybutów zabezpieczeń.

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. Aby pracować z niestandardowymi atrybutami zabezpieczeń, należy przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/attributeSets/allProperties/read Odczytywanie wszystkich właściwości zestawów atrybutów
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń

Administracja istrator dziennika atrybutów

Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:

  • Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
  • Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń
  • Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń

Użytkownicy z tą rolą nie mogą odczytywać dzienników inspekcji dla innych zdarzeń.

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania dzienników inspekcji niestandardowych atrybutów zabezpieczeń. Aby odczytać dzienniki inspekcji niestandardowych atrybutów zabezpieczeń, należy przypisać tę rolę lub rolę Czytelnik dziennika atrybutów.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń
microsoft.azure.customSecurityAttributeDiagnostic Ustawienia/allEntities/allProperties/allTasks Konfigurowanie wszystkich aspektów niestandardowych ustawień diagnostycznych atrybutów zabezpieczeń

Czytelnik dziennika atrybutów

Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:

  • Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
  • Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń

Użytkownicy z tą rolą nie mogą wykonywać następujących zadań:

  • Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń
  • Odczytywanie dzienników inspekcji dla innych zdarzeń

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania dzienników inspekcji niestandardowych atrybutów zabezpieczeń. Aby odczytać dzienniki inspekcji niestandardowych atrybutów zabezpieczeń, należy przypisać tę rolę lub rolę Administracja istratora dziennika atrybutów.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń

Administrator uwierzytelniania

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:

  • Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla administratorów i niektórych ról. Aby uzyskać listę ról, które Administracja istrator uwierzytelniania może odczytywać lub aktualizować metody uwierzytelniania, zobacz KtoTo może resetować hasła.
  • Wymagaj użytkowników, którzy nie są administratorami lub przypisani do niektórych ról, aby ponownie zarejestrować się w istniejących poświadczeniach innych niż hasło (na przykład uwierzytelnianie wieloskładnikowe lub fiDO), a także odwołać zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniu, co powoduje wyświetlenie monitu o uwierzytelnianie wieloskładnikowe podczas następnego logowania.
  • Wykonywanie akcji poufnych dla niektórych użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
  • Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
  • Nie można zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym lub sprzętowymi tokenami OATH.

W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metody uwierzytelniania Zarządzanie zasadami ochrony hasłem Aktualizowanie właściwości poufnych Usuwanie i przywracanie użytkowników
Administracja istrator uwierzytelniania Tak dla niektórych użytkowników Tak dla niektórych użytkowników Nie Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników
Administracja istrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie. Nie Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników
Administracja istrator zasad uwierzytelniania Nie Nie. Tak Tak Tak Nie. Nie
Administrator użytkowników Nie Nie. Nie. Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników

Ważne

Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom uwierzytelniania. Za pomocą tej ścieżki Administracja istrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
  • Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
  • Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Akcje opis
microsoft.directory/users/authenticationMethods/create Aktualizowanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Odczytywanie standardowych właściwości metod uwierzytelniania, które nie zawierają danych osobowych dla użytkowników
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do oryginalnego stanu
microsoft.directory/users/delete Usuwanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Rozszerzalność uwierzytelniania Administracja istrator

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Przypisz rolę rozszerzalności uwierzytelniania Administracja istrator do użytkowników, którzy muszą wykonywać następujące zadania:

  • Tworzenie wszystkich aspektów niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można przypisać niestandardowych rozszerzeń uwierzytelniania do aplikacji w celu zmodyfikowania środowisk uwierzytelniania i nie może wyrazić zgody na uprawnienia aplikacji ani utworzyć rejestracji aplikacji skojarzonych z niestandardowym rozszerzeniem uwierzytelniania. Zamiast tego należy użyć ról Administracja istratora aplikacji, dewelopera aplikacji lub Administracja istratora aplikacji w chmurze.

Niestandardowe rozszerzenie uwierzytelniania to punkt końcowy interfejsu API utworzony przez dewelopera na potrzeby zdarzeń uwierzytelniania i jest zarejestrowany w identyfikatorze Entra firmy Microsoft. Administratorzy aplikacji i właściciele aplikacji mogą używać niestandardowych rozszerzeń uwierzytelniania do dostosowywania środowisk uwierzytelniania aplikacji, takich jak logowanie i rejestrowanie się lub resetowanie hasła.

Dowiedz się więcej

Akcje opis
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi
Ikona etykiety uprzywilejowanej.

Administrator zasad uwierzytelniania

Przypisz rolę Administracja istratora zasad uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:

  • Skonfiguruj zasady metod uwierzytelniania, ustawienia uwierzytelniania wieloskładnikowego dla całej dzierżawy i zasady ochrony haseł, które określają metody, które każdy użytkownik może zarejestrować i używać.
  • Zarządzanie ustawieniami ochrony haseł: inteligentne konfiguracje blokady i aktualizowanie niestandardowej listy zakazanych haseł.
  • Tworzenie poświadczeń weryfikowalnych i zarządzanie nimi.
  • Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zaktualizować właściwości poufnych. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
  • Nie można usunąć ani przywrócić użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
  • Nie można zarządzać ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym lub sprzętowymi tokenami OATH.

W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metody uwierzytelniania Zarządzanie zasadami ochrony hasłem Aktualizowanie właściwości poufnych Usuwanie i przywracanie użytkowników
Administracja istrator uwierzytelniania Tak dla niektórych użytkowników Tak dla niektórych użytkowników Nie Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników
Administracja istrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie. Nie Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników
Administracja istrator zasad uwierzytelniania Nie Nie. Tak Tak Tak Nie. Nie
Administrator użytkowników Nie Nie. Nie. Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników
Akcje opis
microsoft.directory/organization/strongAuthentication/allTasks Zarządzanie wszystkimi aspektami silnych właściwości uwierzytelniania organizacji
microsoft.directory/userCredentialPolicies/create Tworzenie zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/delete Usuwanie zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/standard/read Odczytywanie standardowych właściwości zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/owner/read Odczytywanie właścicieli zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Przeczytaj policy.appliesDo linku nawigacji
microsoft.directory/userCredentialPolicies/basic/update Aktualizowanie podstawowych zasad dla użytkowników
microsoft.directory/userCredentialPolicies/owner/update Aktualizowanie właścicieli zasad poświadczeń dla użytkowników
microsoft.directory/userCredentialPolicies/tenantDefault/update Aktualizowanie właściwości policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odwoływanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/create Tworzenie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizowanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/create Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/delete Usuń konfigurację wymaganą do utworzenia poświadczeń weryfikowalnych i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizowanie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi

Usługa Azure DevOps Administracja istrator

Użytkownicy z tą rolą mogą zarządzać wszystkimi zasadami usługi Azure DevOps w przedsiębiorstwie, mającym zastosowanie do wszystkich organizacji usługi Azure DevOps wspieranych przez identyfikator Firmy Microsoft Entra. Użytkownicy w tej roli mogą zarządzać tymi zasadami, przechodząc do dowolnej organizacji usługi Azure DevOps, która jest wspierana przez identyfikator Firmy Microsoft Entra. Ponadto użytkownicy w tej roli mogą przejmować własność oddzielonych organizacji usługi Azure DevOps. Ta rola nie udziela żadnych innych uprawnień specyficznych dla usługi Azure DevOps (na przykład kolekcji projektów Administracja istratorów) w żadnej organizacji usługi Azure DevOps wspieranej przez organizację firmy Microsoft Entra.

Akcje opis
microsoft.azure.devOps/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure DevOps

Administracja istrator usługi Azure Information Protection

Użytkownicy z tą rolą mają wszystkie uprawnienia w usłudze Azure Information Protection. Ta rola umożliwia konfigurowanie etykiet dla zasad usługi Azure Information Protection, zarządzanie szablonami ochrony i aktywowanie ochrony. Ta rola nie udziela żadnych uprawnień w usłudze Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal lub portal zgodności Microsoft Purview.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

administrator zestawu kluczy IEF B2C

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownik może tworzyć klucze zasad i wpisy tajne oraz zarządzać nimi na potrzeby szyfrowania tokenów, podpisów tokenów i szyfrowania/odszyfrowywania oświadczeń. Dodając nowe klucze do istniejących kontenerów kluczy, ten ograniczony administrator może przerzucać wpisy tajne w razie potrzeby bez wpływu na istniejące aplikacje. Ten użytkownik może zobaczyć pełną zawartość tych wpisów tajnych i daty wygaśnięcia nawet po ich utworzeniu.

Ważne

Jest to wrażliwa rola. Rola administratora zestawu kluczy powinna być starannie przeprowadź inspekcję i przypisana z ostrożnością podczas przedprodukcyjnego i produkcyjnego.

Akcje opis
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Odczytywanie i konfigurowanie zestawów kluczy w usłudze Azure Active Directory B2C
Ikona etykiety uprzywilejowanej.

administrator zasad IEF B2C

Użytkownicy w tej roli mają możliwość tworzenia, odczytywania, aktualizowania i usuwania wszystkich zasad niestandardowych w usłudze Azure AD B2C i w związku z tym mają pełną kontrolę nad platformą Identity Experience Framework w odpowiedniej organizacji usługi Azure AD B2C. Edytując zasady, ten użytkownik może ustanowić bezpośrednią federację z zewnętrznymi dostawcami tożsamości, zmienić schemat katalogu, zmienić całą zawartość użytkownika (HTML, CSS, JavaScript), zmienić wymagania, aby ukończyć uwierzytelnianie, utworzyć nowych użytkowników, wysłać dane użytkowników do systemów zewnętrznych, w tym pełne migracje, i edytować wszystkie informacje o użytkowniku, w tym poufne pola, takie jak hasła i numery telefonów. Z drugiej strony ta rola nie może zmienić kluczy szyfrowania ani edytować wpisów tajnych używanych do federacji w organizacji.

Ważne

Zasady IEF B2 Administracja istrator jest bardzo wrażliwą rolą, która powinna zostać przypisana w bardzo ograniczonym stopniu dla organizacji w środowisku produkcyjnym. Działania tych użytkowników powinny być ściśle poddawane inspekcji, szczególnie w przypadku organizacji w środowisku produkcyjnym.

Akcje opis
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Odczytywanie i konfigurowanie zasad niestandardowych w usłudze Azure Active Directory B2C

Administrator rozliczeń

Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.

Akcje opis
microsoft.directory/organization/basic/update Aktualizowanie podstawowych właściwości w organizacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.commerce.billing/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami rozliczeń usługi Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator usługi Cloud App Security

Użytkownicy z tą rolą mają pełne uprawnienia w aplikacjach Defender dla Chmury. Mogą dodawać administratorów, dodawać zasady i ustawienia aplikacji Microsoft Defender dla Chmury, przekazywać dzienniki i wykonywać akcje nadzoru.

Akcje opis
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator aplikacji w chmurze

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają te same uprawnienia co rola administratora aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji. Ta rola zapewnia możliwość tworzenia wszystkich aspektów aplikacji dla przedsiębiorstw i rejestracji aplikacji oraz zarządzania nimi. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.

Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph.

Ważne

Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład aplikacji innych niż Microsoft lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale udzielenie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak globalny Administracja istrator.

Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli application Administracja istrator daje im możliwość personifikacji tożsamości aplikacji.

Akcje opis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w identyfikatorze Entra firmy Microsoft
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych przy użyciu identyfikatora Entra firmy Microsoft
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuń wszystkie typy aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/verification/update Aktualizowanie właściwości aplikacjiweryfikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie nietrwałych usuniętych aplikacji do stanu pierwotnego
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/applicationPolicies/create Tworzenie zasad aplikacji
microsoft.directory/applicationPolicies/delete Usuwanie zasad aplikacji
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owner/read Odczytywanie właścicieli zasad aplikacji
microsoft.directory/applicationPolicies/policyAppliedTo/read Odczytywanie zasad aplikacji zastosowanych do listy obiektów
microsoft.directory/applicationPolicies/basic/update Aktualizowanie standardowych właściwości zasad aplikacji
microsoft.directory/applicationPolicies/owner/update Aktualizowanie właściwości właściciela zasad aplikacji
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji oraz zarządzanie nimi.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udzielanie zgody na uprawnienia aplikacji i delegowane uprawnienia w imieniu dowolnego użytkownika lub wszystkich użytkowników, z wyjątkiem uprawnień aplikacji dla programu Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owner/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator urządzeń w chmurze

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy tej roli mogą włączać, wyłączać i usuwać urządzenia w identyfikatorze Entra firmy Microsoft oraz odczytywać klucze funkcji BitLocker systemu Windows 10 (jeśli są obecne) w witrynie Azure Portal. Rola nie udziela uprawnień do zarządzania innymi właściwościami na urządzeniu.

Akcje opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwałych usuniętych urządzeń do stanu pierwotnego
microsoft.directory/devices/delete Usuwanie urządzeń z identyfikatora entra firmy Microsoft
microsoft.directory/devices/disable Wyłączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/devices/enable Włączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/deviceLocalCredentials/password/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra, w tym hasła
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
microsoft.directory/deviceManagementPolicies/basic/update Aktualizowanie podstawowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
Ikona etykiety uprzywilejowanej.
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizowanie podstawowych właściwości zasad rejestracji urządzeń
Ikona etykiety uprzywilejowanej.
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365

Administracja istrator zgodności

Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi ze zgodnością w portalu portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365, Azure i Microsoft 365 Defender. Przypisze mogą również zarządzać wszystkimi funkcjami w centrum administracyjnym programu Exchange i tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.

W Może to zrobić
Portal zgodności Microsoft Purview Ochrona danych organizacji i zarządzanie nimi w usługach Platformy Microsoft 365
Zarządzanie alertami zgodności
Menedżer zgodności usługi Microsoft Purview Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji
Portal usługi Microsoft 365 Defender Zarządzanie ładem danych
Przeprowadzanie badania prawnego i danych
Zarządzanie żądaniem podmiotu danych

Ta rola ma takie same uprawnienia, jak grupa ról Administracja istrator zgodności w portalu usługi Microsoft 365 Defender oparta na rolach.
Intune Wyświetlanie wszystkich danych inspekcji usługi Intune
aplikacje Microsoft Defender dla Chmury Ma uprawnienia tylko do odczytu i może zarządzać alertami
Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików
Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi
Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator danych zgodności

Użytkownicy z tą rolą mają uprawnienia do śledzenia danych w portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365 i na platformie Azure. Użytkownicy mogą również śledzić dane zgodności w centrum administracyjnym programu Exchange, Menedżerze zgodności i Aplikacji Teams i Skype dla firm centrum administracyjnym oraz tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji na temat różnic między Administracja istratorem zgodności i Administracja istratorem danych zgodności, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.

W Może to zrobić
Portal zgodności Microsoft Purview Monitorowanie zasad związanych ze zgodnością w usługach Microsoft 365
Zarządzanie alertami zgodności
Menedżer zgodności usługi Microsoft Purview Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji
Portal usługi Microsoft 365 Defender Zarządzanie ładem danych
Przeprowadzanie badania prawnego i danych
Zarządzanie żądaniem podmiotu danych

Ta rola ma takie same uprawnienia, jak grupa ról Administracja istrator danych zgodności w usłudze Microsoft 365 Defender — kontrola dostępu oparta na rolach.
Intune Wyświetlanie wszystkich danych inspekcji usługi Intune
aplikacje Microsoft Defender dla Chmury Ma uprawnienia tylko do odczytu i może zarządzać alertami
Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików
Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi
Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator dostępu warunkowego

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać ustawieniami dostępu warunkowego firmy Microsoft.

Akcje opis
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/conditionalAccessPolicies/create Tworzenie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/delete Usuwanie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owner/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "zastosowana do" dla zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizowanie podstawowych właściwości zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/owner/update Aktualizowanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizowanie dzierżawy domyślnej dla zasad dostępu warunkowego
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizowanie kontekstu uwierzytelniania dostępu warunkowego akcji zasobów kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365
Ikona etykiety uprzywilejowanej.

Osoba zatwierdzająca dostęp do skrytki klienta

Zarządza żądaniami skrytki klienta usługi Microsoft Purview w organizacji. Otrzymują powiadomienia e-mail dotyczące żądań skrytki klienta i mogą zatwierdzać i odrzucać żądania z Centrum administracyjne platformy Microsoft 365. Mogą również włączyć lub wyłączyć funkcję skrytki klienta. Tylko administratorzy globalni Administracja mogą resetować hasła osób przypisanych do tej roli.

Akcje opis
microsoft.office365.lockbox/allEntities/allTasks Zarządzanie wszystkimi aspektami skrytki klienta
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator usługi Desktop Analytics

Użytkownicy tej roli mogą zarządzać usługą Desktop Analytics. Obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania oraz wyświetlania wdrożenia i stanu kondycji.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.desktopAnalytics/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Desktop Analytics

Czytelnicy katalogów

Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. Ta rola powinna być używana dla:

  • Udzielanie określonego zestawu użytkowników-gości dostępu do odczytu zamiast udzielania go wszystkim użytkownikom-gościom.
  • Udzielanie określonego zestawu użytkowników niebędących administratorami dostępu do witryny Azure Portal, gdy opcja "Ogranicz dostęp do witryny Azure Portal tylko administratorom" jest ustawiona na wartość "Tak".
  • Udzielanie jednostkom usługi dostępu do katalogu, w którym Directory.Read.All nie jest opcją.
Akcje opis
microsoft.directory/administrativeUnits/standard/read Odczytywanie podstawowych właściwości jednostek administracyjnych
microsoft.directory/administrativeUnits/members/read Odczytywanie członków jednostek administracyjnych
microsoft.directory/applications/standard/read Odczytywanie standardowych właściwości aplikacji
microsoft.directory/applications/owner/read Odczytywanie właścicieli aplikacji
microsoft.directory/applications/policies/read Odczytywanie zasad aplikacji
microsoft.directory/contacts/standard/read Odczytywanie podstawowych właściwości kontaktów w usłudze Microsoft Entra ID
microsoft.directory/contacts/memberOf/read Przeczytaj członkostwo w grupie dla wszystkich kontaktów w identyfikatorze Entra firmy Microsoft
microsoft.directory/contracts/standard/read Odczytywanie podstawowych właściwości kontraktów partnerskich
microsoft.directory/devices/standard/read Odczytywanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/memberOf/read Odczytywanie członkostwa w urządzeniach
microsoft.directory/devices/registeredOwners/read Odczytywanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/read Odczytywanie zarejestrowanych użytkowników urządzeń
microsoft.directory/directoryRoles/standard/read Odczytywanie podstawowych właściwości ról usługi Microsoft Entra
microsoft.directory/directoryRoles/eligibleMembers/read Przeczytaj uprawnionych członków ról firmy Microsoft Entra
microsoft.directory/directoryRoles/members/read Odczytywanie wszystkich członków ról firmy Microsoft Entra
microsoft.directory/domains/standard/read Odczytywanie podstawowych właściwości w domenach
microsoft.directory/groups/standard/read Odczytywanie standardowych właściwości grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/appRoleAssignments/read Odczytywanie przypisań ról aplikacji grup
microsoft.directory/groups/memberOf/read Odczytywanie właściwości memberOf w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/members/read Odczytywanie członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/owner/read Odczytywanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/settings/read Odczyt ustawień grup
microsoft.directory/group Ustawienia/standard/read Odczytywanie podstawowych właściwości ustawień grupy
microsoft.directory/groupSettingTemplates/standard/read Odczytywanie podstawowych właściwości szablonów ustawień grupy
microsoft.directory/oAuth2PermissionGrants/standard/read Odczytywanie podstawowych właściwości przy udzielanych uprawnieniach protokołu OAuth 2.0
microsoft.directory/organization/standard/read Odczytywanie podstawowych właściwości w organizacji
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Odczytywanie zaufanych urzędów certyfikacji na potrzeby uwierzytelniania bez hasła
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/roleAssignments/standard/read Odczytywanie podstawowych właściwości przypisań ról
microsoft.directory/roleDefinitions/standard/read Odczytywanie podstawowych właściwości definicji ról
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Odczytywanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/appRoleAssignments/read Odczytywanie przypisań ról przypisanych do jednostek usługi
microsoft.directory/servicePrincipals/standard/read Odczytywanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/memberOf/read Odczytywanie członkostwa w grupach w jednostkach usługi
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla jednostek usługi
microsoft.directory/servicePrincipals/owner/read Odczytywanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/ownedObjects/read Odczytywanie obiektów należących do jednostek usługi
microsoft.directory/servicePrincipals/policies/read Odczytywanie zasad jednostek usługi
microsoft.directory/subscribedSkus/standard/read Odczytywanie podstawowych właściwości subskrypcji
microsoft.directory/users/standard/read Odczytywanie podstawowych właściwości dla użytkowników
microsoft.directory/users/appRoleAssignments/read Odczytywanie przypisań ról aplikacji dla użytkowników
microsoft.directory/users/deviceForResourceAccount/read Odczyt deviceForResourceAccount użytkowników
microsoft.directory/users/directReports/read Odczytywanie bezpośrednich raportów dla użytkowników
microsoft.directory/users/licenseDetails/read Odczytywanie szczegółów licencji użytkowników
microsoft.directory/users/manager/read Menedżer odczytu użytkowników
microsoft.directory/users/memberOf/read Odczytywanie członkostwa w grupach użytkowników
microsoft.directory/users/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla użytkowników
microsoft.directory/users/ownedDevices/read Odczytywanie urządzeń należących do użytkowników
microsoft.directory/users/ownedObjects/read Odczytywanie obiektów użytkowników będących własnością
microsoft.directory/users/photo/read Odczytywanie zdjęć użytkowników
microsoft.directory/users/registeredDevices/read Odczytywanie zarejestrowanych urządzeń użytkowników
microsoft.directory/users/scopedRoleMemberOf/read Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej
microsoft.directory/users/sponsors/read Odczytywanie sponsorów użytkowników

Konta synchronizacji katalogów

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Nie używaj. Ta rola jest automatycznie przypisywana do usługi Microsoft Entra Połączenie i nie jest przeznaczona ani obsługiwana dla żadnego innego użycia.

Akcje opis
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuń wszystkie typy aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w usłudze Microsoft Entra ID
Ikona etykiety uprzywilejowanej.
microsoft.directory/organization/dirSync/update Aktualizowanie właściwości synchronizacji katalogu organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w usłudze Microsoft Entra ID
microsoft.directory/policies/create Tworzenie zasad w identyfikatorze Entra firmy Microsoft
microsoft.directory/policies/delete Usuwanie zasad w identyfikatorze Entra firmy Microsoft
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/policies/owner/read Odczytywanie właścicieli zasad
microsoft.directory/policies/policyAppliedTo/read Odczyt właściwości policies.policyAppliedTo
microsoft.directory/policies/basic/update Aktualizowanie podstawowych właściwości zasad
Ikona etykiety uprzywilejowanej.
microsoft.directory/policies/owner/update Aktualizowanie właścicieli zasad
microsoft.directory/policies/tenantDefault/update Aktualizowanie domyślnych zasad organizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Zarządzanie poświadczeniami logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Odczytywanie poświadczeń logowania jednokrotnego haseł w jednostkach usługi
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Odczytywanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/appRoleAssignments/read Odczytywanie przypisań ról przypisanych do jednostek usługi
microsoft.directory/servicePrincipals/standard/read Odczytywanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/memberOf/read Odczytywanie członkostwa w grupach w jednostkach usługi
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla jednostek usługi
microsoft.directory/servicePrincipals/owner/read Odczytywanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/ownedObjects/read Odczytywanie obiektów należących do jednostek usługi
microsoft.directory/servicePrincipals/policies/read Odczytywanie zasad jednostek usługi
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/credentials/update Aktualizowanie poświadczeń jednostek usługi
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owner/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi

Autorzy katalogów

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy tej roli mogą odczytywać i aktualizować podstawowe informacje o użytkownikach, grupach i jednostkach usługi.

Akcje opis
microsoft.directory/applications/extensionProperties/update Aktualizowanie właściwości rozszerzenia w aplikacjach
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Zaktualizuj grupy Firmy Microsoft Entra, aby zostały zapisane z powrotem do środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/group Ustawienia/create Tworzenie ustawień grupy
microsoft.directory/group Ustawienia/delete Usuwanie ustawień grupy
microsoft.directory/group Ustawienia/basic/update Aktualizowanie podstawowych właściwości w ustawieniach grupy
microsoft.directory/oAuth2PermissionGrants/create Tworzenie dotacji uprawnień protokołu OAuth 2.0
Ikona etykiety uprzywilejowanej.
microsoft.directory/oAuth2PermissionGrants/basic/update Aktualizowanie uprawnień protokołu OAuth 2.0
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji oraz zarządzanie nimi.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Zarządzanie dzierżawą chmury do aplikacji dzierżawy w chmurze aprowizacji wpisów tajnych i poświadczeń.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie dzierżawy chmury do zadań synchronizacji aprowizacji aplikacji dzierżawy w chmurze.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Utwórz dzierżawę chmury i zarządzaj nią w celu aprowizacji zadań synchronizacji aplikacji dzierżawy w chmurze i schematu.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodaj użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/inviteGuest Zapraszanie użytkowników-gości
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/sponsors/update Aktualizowanie sponsorów użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.

Administracja istrator nazwy domeny

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać nazwami domen (odczytywać, dodawać, weryfikować, aktualizować i usuwać). Mogą również odczytywać informacje o katalogu dotyczące użytkowników, grup i aplikacji, ponieważ te obiekty mają zależności domeny. W przypadku środowisk lokalnych użytkownicy z tą rolą mogą konfigurować nazwy domen dla federacji, aby skojarzeni użytkownicy zawsze uwierzytelniani lokalnie. Ci użytkownicy mogą następnie logować się do usług firmy Microsoft Entra przy użyciu haseł lokalnych za pośrednictwem logowania jednokrotnego. Ustawienia federacji muszą być synchronizowane za pośrednictwem Połączenie firmy Microsoft, dlatego użytkownicy mają również uprawnienia do zarządzania Połączenie firmy Microsoft.

Akcje opis
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator usługi Dynamics 365

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Dynamics 365 Online, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi do zarządzania dzierżawą.

Uwaga

W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Dynamics 365 Service Administracja istrator. W witrynie Azure Portal nosi nazwę Dynamics 365 Administracja istrator.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Dynamics 365 Business Central Administracja istrator

Przypisz rolę Administracja istratora usługi Dynamics 365 Business Central do użytkowników, którzy muszą wykonywać następujące zadania:

  • Uzyskiwanie dostępu do środowisk usługi Dynamics 365 Business Central
  • Wykonywanie wszystkich zadań administracyjnych w środowiskach
  • Zarządzanie cyklem życia środowisk klienta
  • Nadzorowanie rozszerzeń zainstalowanych w środowiskach
  • Kontrolowanie uaktualnień środowisk
  • Wykonywanie eksportów danych w środowiskach
  • Odczytywanie i konfigurowanie pulpitów nawigacyjnych kondycji usług platformy Azure i platformy Microsoft 365

Ta rola nie zapewnia żadnych uprawnień dla innych produktów usługi Dynamics 365.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.directory/subscribedSkus/allProperties/read Odczytywanie wszystkich właściwości subskrypcji produktów
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator usługi Edge

Użytkownicy w tej roli mogą tworzyć listę witryn przedsiębiorstwa wymaganą dla trybu programu Internet Explorer w przeglądarce Microsoft Edge i zarządzać nią. Ta rola udziela uprawnień do tworzenia, edytowania i publikowania listy witryn, a ponadto umożliwia dostęp do zarządzania biletami pomocy technicznej. Dowiedz się więcej

Akcje opis
microsoft.edge/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator programu Exchange

Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.

Uwaga

W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Exchange Service Administracja istrator. W witrynie Azure Portal nosi nazwę Exchange Administracja istrator. W centrum administracyjnym programu Exchange jest on nazwany administratorem usługi Exchange Online.

Akcje opis
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owners/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.exchange/allEntities/basic/allTasks Zarządzanie wszystkimi aspektami usługi Exchange Online
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator adresata programu Exchange

Użytkownicy z tą rolą mają dostęp do odczytu do adresatów i dostęp do zapisu do atrybutów tych adresatów w usłudze Exchange Online. Aby uzyskać więcej informacji, zobacz Adresaci w programie Exchange Server.

Akcje opis
microsoft.office365.exchange/recipients/allProperties/allTasks Tworzenie i usuwanie wszystkich adresatów oraz odczytywanie i aktualizowanie wszystkich właściwości adresatów w usłudze Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Zarządzanie wszystkimi zadaniami związanymi z migracją adresatów w usłudze Exchange Online

Przepływ użytkownika identyfikatora zewnętrznego Administracja istrator

Użytkownicy z tą rolą mogą tworzyć przepływy użytkowników (nazywane również zasadami wbudowanymi) i zarządzać nimi w witrynie Azure Portal. Ci użytkownicy mogą dostosowywać zawartość HTML/CSS/JavaScript, zmieniać wymagania uwierzytelniania wieloskładnikowego, wybierać oświadczenia w tokenie, zarządzać łącznikami interfejsu API i ich poświadczeniami oraz konfigurować ustawienia sesji dla wszystkich przepływów użytkowników w organizacji firmy Microsoft Entra. Z drugiej strony ta rola nie obejmuje możliwości przeglądania danych użytkownika ani wprowadzania zmian w atrybutach uwzględnionych w schemacie organizacji. Zmiany zasad struktury obsługi tożsamości (nazywane również zasadami niestandardowymi) są również poza zakresem tej roli.

Akcje opis
microsoft.directory/b2cUserFlow/allProperties/allTasks Odczytywanie i konfigurowanie przepływu użytkownika w usłudze Azure Active Directory B2C

Atrybut przepływu użytkownika identyfikatora zewnętrznego Administracja istrator

Użytkownicy z tą rolą dodają lub usuń atrybuty niestandardowe dostępne dla wszystkich przepływów użytkowników w organizacji Microsoft Entra. W związku z tym użytkownicy z tą rolą mogą zmieniać lub dodawać nowe elementy do schematu użytkownika końcowego i wpływać na zachowanie wszystkich przepływów użytkowników i pośrednio spowodować zmiany danych, które mogą zostać poproszone o użytkowników końcowych i ostatecznie wysłane jako oświadczenia do aplikacji. Ta rola nie może edytować przepływów użytkownika.

Akcje opis
microsoft.directory/b2cUserAttribute/allProperties/allTasks Odczytywanie i konfigurowanie atrybutu użytkownika w usłudze Azure Active Directory B2C

Dostawca tożsamości zewnętrznej Administracja istrator

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Ten administrator zarządza federacją między organizacjami firmy Microsoft Entra i zewnętrznymi dostawcami tożsamości. Dzięki tej roli użytkownicy mogą dodawać nowych dostawców tożsamości i konfigurować wszystkie dostępne ustawienia (np. ścieżka uwierzytelniania, identyfikator usługi, przypisane kontenery kluczy). Ten użytkownik może umożliwić organizacji firmy Microsoft Entra zaufanie uwierzytelniania od zewnętrznych dostawców tożsamości. Wynikowy wpływ na środowiska użytkownika końcowego zależy od typu organizacji:

  • Organizacje firmy Microsoft Entra dla pracowników i partnerów: dodanie federacji (np. z usługą Gmail) natychmiast wpłynie na wszystkie zaproszenia gościa, które nie zostały jeszcze zrealizowane. Zobacz Dodawanie usługi Google jako dostawcy tożsamości dla użytkowników-gości B2B.
  • Organizacje usługi Azure Active Directory B2C: dodanie federacji (na przykład z usługą Facebook lub inną organizacją firmy Microsoft Entra) nie ma natychmiastowego wpływu na przepływy użytkowników końcowych do momentu dodania dostawcy tożsamości jako opcji w przepływie użytkownika (nazywanej również wbudowanymi zasadami). Zobacz Konfigurowanie konta Microsoft jako dostawcy tożsamości, aby zapoznać się z przykładem. Aby zmienić przepływy użytkowników, wymagana jest ograniczona rola "B2C User Flow Administracja istrator".
Akcje opis
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
Ikona etykiety uprzywilejowanej.
microsoft.directory/identityProviders/allProperties/allTasks Odczytywanie i konfigurowanie dostawców tożsamości w usłudze Azure Active Directory B2C
Ikona etykiety uprzywilejowanej.

Administracja istrator sieci szkieletowej

Użytkownicy z tą rolą mają uprawnienia globalne w ramach usług Microsoft Fabric i Power BI, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Understanding Fabric admin roles (Opis ról administratora sieci szkieletowej).

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Zarządzanie wszystkimi aspektami sieci szkieletowej i usługi Power BI

Globalny administrator usługi

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Microsoft Entra ID, a także usług korzystających z tożsamości firmy Microsoft Entra, takich jak portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, Exchange Online, SharePoint Online i Skype dla firm Online. Globalne Administracja istratory mogą wyświetlać dzienniki aktywności katalogu. Ponadto administratorzy globalni Administracja mogą podnieść swój dostęp do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Dzięki temu globalni Administracja istratorzy mogą uzyskać pełny dostęp do wszystkich zasobów platformy Azure przy użyciu odpowiedniej dzierżawy firmy Microsoft Entra. Osoba, która zarejestruje się w organizacji Microsoft Entra, staje się globalnym Administracja istratorem. W twojej firmie może istnieć więcej niż jeden globalny Administracja istrator. Globalne Administracja istratory mogą zresetować hasło dla dowolnego użytkownika i wszystkich innych administratorów. Administrator globalny Administracja nie może usunąć własnego przypisania globalnego Administracja istratora. Zapobiega to sytuacji, w której organizacja ma zero globalnych Administracja istratorów.

Uwaga

Najlepszym rozwiązaniem jest przypisanie roli Global Administracja istrator do mniej niż pięciu osób w organizacji. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ról firmy Microsoft Entra.

Akcje opis
microsoft.directory/accessReviews/allProperties/allTasks (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w usłudze Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Zarządzanie przeglądami dostępu wszystkich przeglądanych zasobów w usłudze Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Zarządzanie zasadami żądań zgody administratora w identyfikatorze Entra firmy Microsoft
microsoft.directory/administrativeUnits/allProperties/allTasks Tworzenie jednostek administracyjnych (w tym członków) i zarządzanie nimi
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych przy użyciu identyfikatora Entra firmy Microsoft
microsoft.directory/applications/allProperties/allTasks Tworzenie i usuwanie aplikacji oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/users/authenticationMethods/create Aktualizowanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/standard/read Odczytywanie standardowych właściwości metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/authorizationPolicy/allProperties/allTasks Zarządzanie wszystkimi aspektami zasad autoryzacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps
microsoft.directory/connectors/create Tworzenie łączników serwera proxy aplikacji
microsoft.directory/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/create Tworzenie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/delete Usuwanie grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/update Aktualizowanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/contacts/allProperties/allTasks Tworzenie i usuwanie kontaktów oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/contracts/allProperties/allTasks Tworzenie i usuwanie kontraktów partnerów oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi
Ikona etykiety uprzywilejowanej.
microsoft.directory/deletedItems/delete Trwałe usuwanie obiektów, których nie można już przywrócić
microsoft.directory/deletedItems/restore Przywracanie nietrwałych usuniętych obiektów do stanu pierwotnego
microsoft.directory/devices/allProperties/allTasks Tworzenie i usuwanie urządzeń oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupsAssignableToRoles/assignLicense Przypisywanie licencji do grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji do grup z możliwością przypisywania ról
microsoft.directory/multiTenantOrganization/basic/update Aktualizowanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/create Tworzenie organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Dołączanie do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Odczytywanie właściwości żądania dołączenia do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/standard/read Odczytywanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizowanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/create Tworzenie dzierżawy w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/delete Usuwanie dzierżawy uczestniczącej w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Odczytywanie szczegółów organizacji dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/standard/read Odczytywanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/deviceLocalCredentials/password/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra, w tym hasła
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
microsoft.directory/deviceManagementPolicies/basic/update Aktualizowanie podstawowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
Ikona etykiety uprzywilejowanej.
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizowanie podstawowych właściwości zasad rejestracji urządzeń
Ikona etykiety uprzywilejowanej.
microsoft.directory/directoryRoles/allProperties/allTasks Tworzenie i usuwanie ról katalogu oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Tworzenie i usuwanie szablonów ról firmy Microsoft Entra oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/domains/federationConfiguration/standard/read Odczytywanie standardowych właściwości konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/basic/update Aktualizowanie podstawowej konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/create Tworzenie konfiguracji federacji dla domen
microsoft.directory/domains/federationConfiguration/delete Usuwanie konfiguracji federacji dla domen
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w zarządzaniu upoważnieniami firmy Microsoft
microsoft.directory/groups/allProperties/allTasks Tworzenie i usuwanie grup oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupsAssignableToRoles/create Tworzenie grup z możliwością przypisania do roli
microsoft.directory/groupsAssignableToRoles/delete Usuwanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/restore Przywracanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizowanie grup z możliwością przypisywania ról
microsoft.directory/group Ustawienia/allProperties/allTasks Tworzenie i usuwanie ustawień grupy oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupSettingTemplates/allProperties/allTasks Tworzenie i usuwanie szablonów ustawień grupy oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w usłudze Microsoft Entra ID
Ikona etykiety uprzywilejowanej.
microsoft.directory/identityProtection/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Ochrona tożsamości Microsoft Entra
Ikona etykiety uprzywilejowanej.
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Tworzenie i usuwanie identyfikatora loginTenantBranding oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/organization/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w usłudze Microsoft Entra ID
microsoft.directory/policies/allProperties/allTasks Tworzenie i usuwanie zasad oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Zarządzanie wszystkimi właściwościami zasad dostępu warunkowego
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizowanie podstawowych ustawień zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Połączenie/update Aktualizowanie ustawień połączenia bezpośredniego usługi Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/delete Usuwanie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizowanie szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Ustawienia Resetowanie szablonu zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami do ustawień domyślnych
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Przeczytaj podstawowe właściwości szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizowanie szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Ustawienia Resetowanie szablonu zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami do ustawień domyślnych
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Zapoznaj się z podstawowymi właściwościami szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Połączenie/update Aktualizowanie ustawień połączenia bezpośredniego usługi Microsoft Entra B2B dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Tworzenie zasad synchronizacji między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizowanie podstawowych ustawień zasad synchronizacji między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Odczytywanie podstawowych właściwości zasad synchronizacji między dzierżawami
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w usłudze Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizowanie kontekstu uwierzytelniania dostępu warunkowego akcji zasobów kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365
Ikona etykiety uprzywilejowanej.
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie właściwości scopedRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/serviceAction/activateService Może wykonać akcję "Aktywuj usługę" dla usługi
microsoft.directory/serviceAction/disableDirectoryFeature Może wykonać akcję usługi "Wyłącz funkcję katalogu"
microsoft.directory/serviceAction/enableDirectoryFeature Może wykonać akcję usługi "włącz funkcję katalogu"
microsoft.directory/serviceAction/getAvailableExtentionProperties Może wykonać akcję usługi getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Tworzenie i usuwanie jednostek usługi oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udzielanie zgody na wszelkie uprawnienia do dowolnej aplikacji
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji oraz zarządzanie nimi.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Zarządzanie dzierżawą chmury do aplikacji dzierżawy w chmurze aprowizacji wpisów tajnych i poświadczeń.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie dzierżawy chmury do zadań synchronizacji aprowizacji aplikacji dzierżawy w chmurze.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Utwórz dzierżawę chmury i zarządzaj nią w celu aprowizacji zadań synchronizacji aplikacji dzierżawy w chmurze i schematu.
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.directory/subscribedSkus/allProperties/allTasks Kupowanie subskrypcji i usuwanie ich oraz zarządzanie nimi
microsoft.directory/users/allProperties/allTasks Tworzenie i usuwanie użytkowników oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/convertExternalToInternalMemberUser Konwertowanie użytkownika zewnętrznego na użytkownika wewnętrznego
microsoft.directory/permissionGrantPolicies/create Tworzenie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/delete Usuwanie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/standard/read Odczytywanie standardowych właściwości zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/basic/update Aktualizowanie podstawowych właściwości zasad udzielania uprawnień
microsoft.directory/servicePrincipalCreationPolicies/create Tworzenie zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/delete Usuwanie zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/standard/read Odczytywanie standardowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualizowanie podstawowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/tenantManagement/tenants/create Tworzenie nowych dzierżaw w usłudze Microsoft Entra ID
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odwoływanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/create Tworzenie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizowanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/create Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/delete Usuń konfigurację wymaganą do utworzenia poświadczeń weryfikowalnych i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizowanie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Zarządzanie wszystkimi aspektami przepływów pracy i zadań cyklu życia w identyfikatorze Entra firmy Microsoft
microsoft.directory/pendingExternalUserProfiles/create Tworzenie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/delete Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/basic/update Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/delete Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.azure.advancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami systemu Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami rozliczeń usługi Office 365
microsoft.commerce.billing/purchases/standard/read Przeczytaj artykuł Purchase services in M365 Administracja Center (Usługi zakupu w centrum Administracja M365).
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami dostępu do sieci firmy Microsoft
microsoft.flow/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate
microsoft.hardware.support/shippingAddress/allProperties/allTasks Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym adresów wysyłkowych utworzonych przez inne osoby
microsoft.hardware.support/shippingStatus/allProperties/read Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Tworzenie wszystkich aspektów gwarancji sprzętowych firmy Microsoft i zarządzanie nimi
microsoft.insights/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami aplikacji Szczegółowe informacje
microsoft.intune/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Zarządzanie wszystkimi aspektami usługi Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami kontenerów sharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Odczytywanie raportów analitycznych o zrozumieniu zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Zarządzanie źródłami uczenia i wszystkimi ich właściwościami w aplikacji Edukacja.
microsoft.office365.lockbox/allEntities/allTasks Zarządzanie wszystkimi aspektami skrytki klienta
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami tworzenia wiadomości organizacyjnych platformy Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami centrów zabezpieczeń i zgodności
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie standardowych właściwości w Centrum zabezpieczeń i zgodności usługi Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.userCommunication/allEntities/allTasks Odczytywanie i aktualizowanie nowych komunikatów
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami usługi Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra
microsoft.powerApps/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Zarządzanie wszystkimi aspektami sieci szkieletowej i usługi Power BI
microsoft.teams/allEntities/allProperties/allTasks Zarządzanie wszystkimi zasobami w usłudze Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Zarządzanie informacjami i metrykami wizyt wirtualnych z centrów administracyjnych lub aplikacji Wirtualne wizyty
microsoft.viva.goals/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami celów Platformy Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami platformy Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami Ochrona punktu końcowego w usłudze Microsoft Defender
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update

Czytelnik globalny

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą odczytywać ustawienia i informacje administracyjne w usługach platformy Microsoft 365, ale nie mogą podejmować działań związanych z zarządzaniem. Czytelnik globalny jest odpowiednikiem tylko do odczytu do globalnego Administracja istratora. Przypisz czytelnika globalnego zamiast globalnego Administracja istratora do planowania, inspekcji lub badań. Użyj czytelnika globalnego w połączeniu z innymi ograniczonymi rolami administratora, takimi jak Exchange Administracja istrator, aby ułatwić pracę bez przypisywania roli globalnego Administracja istratora. Czytelnik globalny współpracuje z Centrum administracyjne platformy Microsoft 365, centrum administracyjnym programu Exchange, centrum administracyjnym programu SharePoint, centrum administracyjnym usługi Teams, portalem usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, witryną Azure Portal i Zarządzanie urządzeniami centrum administracyjne.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można uzyskać dostępu do obszaru Zakup usług w Centrum administracyjne platformy Microsoft 365.

Uwaga

Rola Czytelnik globalny ma następujące ograniczenia:

  • Centrum administracyjne usługi OneDrive — centrum administracyjne usługi OneDrive nie obsługuje roli Czytelnik globalny
  • Centrum administracyjne platformy Microsoft 365 — czytnik globalny nie może odczytać zintegrowanych aplikacji. Nie znajdziesz karty Zintegrowane aplikacje w obszarze Ustawienia w lewym okienku Centrum administracyjne platformy Microsoft 365.
  • Portal usługi Microsoft 365 Defender — czytelnik globalny nie może odczytać dzienników inspekcji SCC, przeszukiwać zawartości ani wyświetlać wskaźnika bezpieczeństwa.
  • Centrum administracyjne usługi Teams — czytelnik globalny nie może odczytać cyklu życia usługi Teams, analiz i raportów, zarządzania urządzeniami z telefonami IP i wykazu aplikacji. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi Microsoft Teams do zarządzania usługą Teams.
  • Usługa Privileged Access Management nie obsługuje roli Czytelnik globalny.
  • Azure Information Protection — czytelnik globalny jest obsługiwany tylko w przypadku centralnego raportowania , a twoja organizacja Firmy Microsoft Entra nie znajduje się na ujednoliconej platformie etykietowania.
  • SharePoint — czytelnik globalny obecnie nie może uzyskać dostępu do programu SharePoint przy użyciu programu PowerShell.
  • Centrum administracyjne platformy Power Platform — czytelnik globalny nie jest jeszcze obsługiwany w centrum administracyjnym platformy Power Platform.
  • Usługa Microsoft Purview nie obsługuje roli Czytelnik globalny.
Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.directory/accessReviews/allProperties/read (Przestarzałe) Odczytywanie wszystkich właściwości przeglądów dostępu
microsoft.directory/accessReviews/definitions/allProperties/read Odczytywanie wszystkich właściwości przeglądów dostępu wszystkich możliwych do przejrzenia zasobów w identyfikatorze Entra firmy Microsoft
microsoft.directory/adminConsentRequestPolicy/allProperties/read Odczytywanie wszystkich właściwości zasad żądania zgody administratora w identyfikatorze Entra firmy Microsoft
microsoft.directory/administrativeUnits/allProperties/read Odczytywanie wszystkich właściwości jednostek administracyjnych, w tym elementów członkowskich
microsoft.directory/appConsent/appConsentRequests/allProperties/read Odczytywanie wszystkich właściwości żądań zgody dla aplikacji zarejestrowanych przy użyciu identyfikatora Entra firmy Microsoft
microsoft.directory/applications/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) we wszystkich typach aplikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/users/authenticationMethods/standard/restrictedRead Odczytywanie standardowych właściwości metod uwierzytelniania, które nie zawierają danych osobowych dla użytkowników
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/cloudAppSecurity/allProperties/read Odczytywanie wszystkich właściwości aplikacji Defender dla Chmury
microsoft.directory/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/contacts/allProperties/read Odczytywanie wszystkich właściwości kontaktów
microsoft.directory/customAuthenticationExtensions/allProperties/read Odczytywanie niestandardowych rozszerzeń uwierzytelniania
microsoft.directory/deviceLocalCredentials/standard/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra z wyjątkiem hasła
microsoft.directory/devices/allProperties/read Odczytywanie wszystkich właściwości urządzenia
microsoft.directory/directoryRoles/allProperties/read Odczytywanie wszystkich właściwości ról katalogu
microsoft.directory/directoryRoleTemplates/allProperties/read Odczytywanie wszystkich właściwości szablonów ról katalogu
microsoft.directory/domains/allProperties/read Odczytywanie wszystkich właściwości domen
microsoft.directory/domains/federationConfiguration/standard/read Odczytywanie standardowych właściwości konfiguracji federacyjnej dla domen
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/groups/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/group Ustawienia/allProperties/read Odczytywanie wszystkich właściwości ustawień grupy
microsoft.directory/groupSettingTemplates/allProperties/read Odczytywanie wszystkich właściwości szablonów ustawień grupy
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Ochrona tożsamości Microsoft Entra
microsoft.directory/loginOrganizationBranding/allProperties/read Odczytywanie wszystkich właściwości strony logowania markowego organizacji
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/oAuth2PermissionGrants/allProperties/read Odczytywanie wszystkich właściwości udzielanych uprawnień protokołu OAuth 2.0
microsoft.directory/organization/allProperties/read Odczytywanie wszystkich właściwości organizacji
microsoft.directory/pendingExternalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/permissionGrantPolicies/standard/read Odczytywanie standardowych właściwości zasad udzielania uprawnień
microsoft.directory/policies/allProperties/read Odczytywanie wszystkich właściwości zasad
microsoft.directory/conditionalAccessPolicies/allProperties/read Odczytywanie wszystkich właściwości zasad dostępu warunkowego
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Przeczytaj podstawowe właściwości szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Zapoznaj się z podstawowymi właściwościami szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Odczytywanie podstawowych właściwości zasad synchronizacji między dzierżawami
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Odczytywanie właściwości żądania dołączenia do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/standard/read Odczytywanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Odczytywanie szczegółów organizacji dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/standard/read Odczytywanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w usłudze Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/roleAssignments/allProperties/read Odczytywanie wszystkich właściwości przypisań ról
microsoft.directory/roleDefinitions/allProperties/read Odczytywanie wszystkich właściwości definicji ról
microsoft.directory/scopedRoleMemberships/allProperties/read Wyświetlanie elementów członkowskich w jednostkach administracyjnych
microsoft.directory/serviceAction/getAvailableExtentionProperties Może wykonać akcję usługi getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/read Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w usłudze ServicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Odczytywanie standardowych właściwości zasad tworzenia jednostki usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.directory/subscribedSkus/allProperties/read Odczytywanie wszystkich właściwości subskrypcji produktów
microsoft.directory/users/allProperties/read Odczytywanie wszystkich właściwości użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Odczytywanie weryfikowalnej karty poświadczeń
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Odczytywanie weryfikowalnego kontraktu poświadczeń
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Odczytywanie wszystkich właściwości przepływów pracy i zadań cyklu życia w identyfikatorze Entra firmy Microsoft
microsoft.cloudPC/allEntities/allProperties/read Odczytywanie wszystkich aspektów systemu Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Odczytywanie wszystkich zasobów rozliczeń usługi Office 365
microsoft.commerce.billing/purchases/standard/read Przeczytaj artykuł Purchase services in M365 Administracja Center (Usługi zakupu w centrum Administracja M365).
microsoft.edge/allEntities/allProperties/read Odczytywanie wszystkich aspektów przeglądarki Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/read Przeczytaj wszystkie aspekty programu Microsoft Entra Network Access
microsoft.hardware.support/shippingAddress/allProperties/read Odczytywanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym istniejących adresów wysyłkowych utworzonych przez inne osoby
microsoft.hardware.support/shippingStatus/allProperties/read Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft
microsoft.hardware.support/warrantyClaims/allProperties/read Przeczytaj oświadczenia dotyczące gwarancji sprzętowych firmy Microsoft
microsoft.insights/allEntities/allProperties/read Przeczytaj wszystkie aspekty Szczegółowe informacje Viva
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Odczytywanie jednostek i uprawnień kontenerów programu SharePoint Embedded
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Odczytywanie wszystkich aspektów wiadomości organizacyjnych platformy Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Odczytywanie wszystkich właściwości w centrach zabezpieczeń i zgodności
microsoft.office365.securityComplianceCenter/allEntities/read Odczytywanie standardowych właściwości w Centrum zabezpieczeń i zgodności platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Odczytywanie wszystkich aspektów usługi Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Odczytywanie wszystkich aspektów Zarządzanie uprawnieniami Microsoft Entra
microsoft.teams/allEntities/allProperties/read Odczytywanie wszystkich właściwości usługi Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Odczytywanie wszystkich aspektów wizyt wirtualnych
microsoft.viva.goals/allEntities/allProperties/read Przeczytaj wszystkie aspekty celów Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/read Przeczytaj wszystkie aspekty programu Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Odczytywanie wszystkich aspektów usługi Windows Update

Globalny Administracja istrator bezpiecznego dostępu

Przypisz rolę globalnego Administracja istratora bezpiecznego dostępu do użytkowników, którzy muszą wykonać następujące czynności:

  • Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi
  • Zarządzanie dostępem do publicznych i prywatnych punktów końcowych

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zarządzać aplikacjami dla przedsiębiorstw, rejestracjami aplikacji, dostępem warunkowym lub ustawieniami serwera proxy aplikacji

Dowiedz się więcej

Akcje opis
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.directory/applicationPolicies/standard/read Odczytywanie standardowych właściwości zasad aplikacji
microsoft.directory/applications/applicationProxy/read Odczytywanie wszystkich właściwości serwera proxy aplikacji
microsoft.directory/applications/owner/read Odczytywanie właścicieli aplikacji
microsoft.directory/applications/policies/read Odczytywanie zasad aplikacji
microsoft.directory/applications/standard/read Odczytywanie standardowych właściwości aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/connectorGroups/allProperties/read Odczytywanie wszystkich właściwości grup łączników serwera proxy aplikacji
microsoft.directory/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników serwera proxy aplikacji
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.networkAccess/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami dostępu do sieci firmy Microsoft
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator grup

Użytkownicy w tej roli mogą tworzyć grupy i jej ustawienia, takie jak nazewnictwo i zasady wygasania, oraz zarządzać nimi. Ważne jest, aby zrozumieć, że przypisanie użytkownika do tej roli daje im możliwość zarządzania wszystkimi grupami w organizacji w różnych obciążeniach, takich jak Teams, SharePoint, Yammer oprócz programu Outlook. Ponadto użytkownik będzie mógł zarządzać różnymi ustawieniami grup w różnych portalach administracyjnych, takich jak Centrum administracyjne firmy Microsoft, Witryna Azure Portal, a także specyficzne dla obciążeń, takie jak teams i centra administracyjne programu SharePoint.

Akcje opis
microsoft.directory/deletedItems.groups/delete Trwałe usuwanie grup, których nie można już przywrócić
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu pierwotnego
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Zaktualizuj grupy Firmy Microsoft Entra, aby zostały zapisane z powrotem do środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Osoba zapraszana gościa

Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkownika-gościa firmy Microsoft Entra B2B, gdy ustawienie Członkowie mogą zapraszać użytkownika jest ustawione na Nie. Więcej informacji na temat współpracy B2B można znaleźć na stronie Informacje o współpracy firmy Microsoft Entra B2B. Nie zawiera żadnych innych uprawnień.

Akcje opis
microsoft.directory/users/inviteGuest Zapraszanie użytkowników-gości
microsoft.directory/users/standard/read Odczytywanie podstawowych właściwości dla użytkowników
microsoft.directory/users/appRoleAssignments/read Odczytywanie przypisań ról aplikacji dla użytkowników
microsoft.directory/users/deviceForResourceAccount/read Odczyt deviceForResourceAccount użytkowników
microsoft.directory/users/directReports/read Odczytywanie bezpośrednich raportów dla użytkowników
microsoft.directory/users/licenseDetails/read Odczytywanie szczegółów licencji użytkowników
microsoft.directory/users/manager/read Menedżer odczytu użytkowników
microsoft.directory/users/memberOf/read Odczytywanie członkostwa w grupach użytkowników
microsoft.directory/users/oAuth2PermissionGrants/read Uprawnienia delegowane do odczytu dla użytkowników
microsoft.directory/users/ownedDevices/read Odczytywanie urządzeń należących do użytkowników
microsoft.directory/users/ownedObjects/read Odczytywanie obiektów użytkowników będących własnością
microsoft.directory/users/photo/read Odczytywanie zdjęć użytkowników
microsoft.directory/users/registeredDevices/read Odczytywanie zarejestrowanych urządzeń użytkowników
microsoft.directory/users/scopedRoleMemberOf/read Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej
microsoft.directory/users/sponsors/read Odczytywanie sponsorów użytkowników

Pomoc techniczna Administracja istrator

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zmieniać hasła, unieważniać tokeny odświeżania, tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz monitorować kondycję usługi. Unieważnienie tokenu odświeżania wymusza ponowne zalogowanie się użytkownika. To, czy Administracja istrator pomocy technicznej może zresetować hasło użytkownika i unieważnić tokeny odświeżania, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, które Administracja istrator pomocy technicznej może resetować hasła i unieważniać tokeny odświeżania, zobacz KtoTo może resetować hasła.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.

Ważne

Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom pomocy technicznej. Za pomocą tej ścieżki Administracja istrator pomocy technicznej może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo założyć tożsamość uprzywilejowanej aplikacji, aktualizując poświadczenia dla aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
  • Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
  • Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.

Delegowanie uprawnień administracyjnych przez podzestawy użytkowników i stosowanie zasad do podzestawu użytkowników jest możliwe przy użyciu jednostek Administracja istracyjnych.

Ta rola nosiła wcześniej nazwę Password Administracja istrator w witrynie Azure Portal. Zmieniono jej nazwę na Helpdesk Administracja istrator, aby dopasować ją do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Azure AD PowerShell.

Akcje opis
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/deviceLocalCredentials/standard/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra z wyjątkiem hasła
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator tożsamości hybrydowej

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy tej roli mogą tworzyć i wdrażać konfigurację aprowizacji z usługi Active Directory do usługi Microsoft Entra ID przy użyciu aprowizacji w chmurze, a także zarządzać usługą Microsoft Entra Połączenie, uwierzytelnianiem przekazywanym (PTA), synchronizacją skrótów haseł (PHS), bezproblemowym logowaniem jednokrotnym (Bezproblemowe logowanie jednokrotne) i ustawieniami federacji. Nie ma dostępu do zarządzania usługą Microsoft Entra Połączenie Health. Użytkownicy mogą również rozwiązywać problemy z dziennikami i monitorować je przy użyciu tej roli.

Akcje opis
microsoft.directory/applications/create Tworzenie wszystkich typów aplikacji
microsoft.directory/applications/delete Usuń wszystkie typy aplikacji
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/applications/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z obiektem aplikacji
microsoft.directory/applicationTemplates/wystąpienie Tworzenie wystąpień aplikacji z galerii na podstawie szablonów aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/cloudProvisioning/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich właściwości usługi aprowizacji w chmurze firmy Microsoft.
microsoft.directory/deletedItems.applications/delete Trwałe usuwanie aplikacji, których nie można już przywrócić
microsoft.directory/deletedItems.applications/restore Przywracanie nietrwałych usuniętych aplikacji do stanu pierwotnego
microsoft.directory/domains/allProperties/read Odczytywanie wszystkich właściwości domen
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
Ikona etykiety uprzywilejowanej.
microsoft.directory/domains/federationConfiguration/standard/read Odczytywanie standardowych właściwości konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/basic/update Aktualizowanie podstawowej konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/create Tworzenie konfiguracji federacji dla domen
microsoft.directory/domains/federationConfiguration/delete Usuwanie konfiguracji federacji dla domen
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Zarządzanie zasadami uwierzytelniania hybrydowego w usłudze Microsoft Entra ID
Ikona etykiety uprzywilejowanej.
microsoft.directory/organization/dirSync/update Aktualizowanie właściwości synchronizacji katalogu organizacji
microsoft.directory/passwordHashSync/allProperties/allTasks Zarządzanie wszystkimi aspektami synchronizacji skrótów haseł (PHS) w usłudze Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/servicePrincipals/create Tworzenie jednostek usługi
microsoft.directory/servicePrincipals/delete Usuwanie jednostek usługi
microsoft.directory/servicePrincipals/disable Wyłączanie jednostek usługi
microsoft.directory/servicePrincipals/enable Włączanie jednostek usługi
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji
microsoft.directory/servicePrincipals/synchronizationSchema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji i zarządzanie nimi
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Zarządzanie wpisami tajnymi i poświadczeniami aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie zadań synchronizacji aprowizacji aplikacji.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Tworzenie zadań i schematu synchronizacji aprowizacji aplikacji oraz zarządzanie nimi.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Zarządzanie dzierżawą chmury do aplikacji dzierżawy w chmurze aprowizacji wpisów tajnych i poświadczeń.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Uruchamianie, ponowne uruchamianie i wstrzymywanie dzierżawy chmury do zadań synchronizacji aprowizacji aplikacji dzierżawy w chmurze.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Utwórz dzierżawę chmury i zarządzaj nią w celu aprowizacji zadań synchronizacji aplikacji dzierżawy w chmurze i schematu.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/audience/update Aktualizowanie właściwości odbiorców w jednostkach usługi
microsoft.directory/servicePrincipals/authentication/update Aktualizowanie właściwości uwierzytelniania w jednostkach usługi
microsoft.directory/servicePrincipals/basic/update Aktualizowanie podstawowych właściwości jednostek usługi
microsoft.directory/servicePrincipals/notes/update Informacje o aktualizacjach jednostek usługi
microsoft.directory/servicePrincipals/owner/update Aktualizowanie właścicieli jednostek usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/servicePrincipals/tag/update Aktualizowanie właściwości tagu dla jednostek usługi
microsoft.directory/servicePrincipals/synchronization/standard/read Odczyt ustawień aprowizacji skojarzonych z jednostką usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.directory/users/authorizationInfo/update Aktualizowanie właściwości identyfikatorów użytkownika certyfikatu wielowartościowego użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Zarządzanie tożsamościami Administracja istrator

Użytkownicy z tą rolą mogą zarządzać konfiguracją Zarządzanie tożsamością Microsoft Entra, w tym pakietami dostępu, przeglądami dostępu, wykazami i zasadami, zapewniając, że dostęp jest zatwierdzony i przeglądany oraz użytkownicy-goście, którzy nie potrzebują już dostępu, są usuwane.

Akcje opis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Zarządzanie przeglądami dostępu przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dotyczących członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/create Tworzenie przeglądów dostępu do członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Usuń przeglądy dostępu dotyczące członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w usłudze Microsoft Entra ID
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w zarządzaniu upoważnieniami firmy Microsoft
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi

Szczegółowe informacje Administracja istrator

Użytkownicy tej roli mogą uzyskiwać dostęp do pełnego zestawu funkcji administracyjnych w aplikacji Microsoft Viva Szczegółowe informacje. Ta rola ma możliwość odczytywania informacji o katalogu, monitorowania kondycji usługi, biletów pomocy technicznej plików i uzyskiwania dostępu do aspektów ustawień Szczegółowe informacje Administracja istratora.

Dowiedz się więcej

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.insights/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami aplikacji Szczegółowe informacje
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

analityk Szczegółowe informacje

Przypisz rolę analityka Szczegółowe informacje do użytkowników, którzy muszą wykonać następujące czynności:

  • Analizowanie danych w aplikacji Microsoft Viva Szczegółowe informacje, ale nie może zarządzać żadnymi ustawieniami konfiguracji
  • Tworzenie i uruchamianie zapytań oraz zarządzanie nimi
  • Wyświetlanie podstawowych ustawień i raportów w Centrum administracyjne platformy Microsoft 365
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365

Dowiedz się więcej

Akcje opis
microsoft.insights/queries/allProperties/allTasks Uruchamianie zapytań i zarządzanie nimi w aplikacji Viva Szczegółowe informacje
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

lider biznesowy Szczegółowe informacje

Użytkownicy w tej roli mogą uzyskiwać dostęp do zestawu pulpitów nawigacyjnych i szczegółowych informacji za pośrednictwem aplikacji Microsoft Viva Szczegółowe informacje. Obejmuje to pełny dostęp do wszystkich pulpitów nawigacyjnych oraz prezentowanych szczegółowych informacji i funkcji eksploracji danych. Użytkownicy w tej roli nie mają dostępu do ustawień konfiguracji produktu, które są odpowiedzialne za rolę Szczegółowe informacje Administracja istratora.

Dowiedz się więcej

Akcje opis
microsoft.insights/reports/allProperties/read Wyświetlanie raportów i pulpitów nawigacyjnych w aplikacji Szczegółowe informacje
microsoft.insights/programs/allProperties/update Wdrażanie programów i zarządzanie nimi w aplikacji Szczegółowe informacje

Administrator usługi Intune

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Intune Online, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi. Aby uzyskać więcej informacji, zobacz Kontrola administracji opartej na rolach (RBAC) w usłudze Microsoft Intune.

Ta rola może tworzyć wszystkie grupy zabezpieczeń i zarządzać nimi. Jednak usługa Intune Administracja istrator nie ma uprawnień administratora do grup pakietu Office. Oznacza to, że administrator nie może zaktualizować właścicieli ani członkostwa we wszystkich grupach pakietu Office w organizacji. Może jednak zarządzać grupą pakietu Office, która jest tworzona jako część uprawnień użytkownika końcowego. Dlatego każda grupa pakietu Office (nie grupa zabezpieczeń), którą tworzy, powinna być liczone względem limitu przydziału 250.

Uwaga

W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Intune Service Administracja istrator. W witrynie Azure Portal nosi nazwę Intune Administracja istrator.

Akcje opis
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwałych usuniętych urządzeń do stanu pierwotnego
microsoft.directory/devices/create Tworzenie urządzeń (rejestrowanie w usłudze Microsoft Entra ID)
microsoft.directory/devices/delete Usuwanie urządzeń z identyfikatora entra firmy Microsoft
microsoft.directory/devices/disable Wyłączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/devices/enable Włączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/devices/basic/update Aktualizowanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/extensionAttributeSet1/update Aktualizowanie rozszerzeniaAttribute1 do właściwości extensionAttribute5 na urządzeniach
microsoft.directory/devices/extensionAttributeSet2/update Aktualizowanie rozszerzeniaAttribute6 do właściwości extensionAttribute10 na urządzeniach
microsoft.directory/devices/extensionAttributeSet3/update Aktualizowanie rozszerzeniaAttribute11 do właściwości extensionAttribute15 na urządzeniach
microsoft.directory/devices/registeredOwners/update Aktualizowanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/update Aktualizowanie zarejestrowanych użytkowników urządzeń
microsoft.directory/deviceLocalCredentials/password/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra, w tym hasła
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/visibility/update Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami systemu Windows 365
microsoft.intune/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Odczytywanie wszystkich aspektów wiadomości organizacyjnych platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Kaizala Administracja istrator

Użytkownicy z tą rolą mają uprawnienia globalne do zarządzania ustawieniami w Aplikacja Microsoft Kaizala, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Ponadto użytkownik może uzyskiwać dostęp do raportów związanych z wdrażaniem i użyciem usługi Kaizala przez członków organizacji i raportów biznesowych generowanych przy użyciu akcji Kaizala.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator wiedzy

Użytkownicy tej roli mają pełny dostęp do wszystkich ustawień wiedzy, uczenia się i inteligentnych funkcji w Centrum administracyjne platformy Microsoft 365. Mają ogólną wiedzę na temat pakietu produktów, szczegółów licencjonowania i mają odpowiedzialność za kontrolę dostępu. Administracja istrator wiedzy może tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zasoby szkoleniowe. Ponadto ci użytkownicy mogą tworzyć centra zawartości, monitorować kondycję usługi i tworzyć żądania obsługi.

Akcje opis
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/createAsOwner Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel.
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Zarządzanie źródłami uczenia i wszystkimi ich właściwościami w aplikacji Edukacja.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Odczytywanie wszystkich właściwości etykiet poufności w centrach zabezpieczeń i zgodności
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Menedżer bazy wiedzy

Użytkownicy w tej roli mogą tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zawartość szkoleniowa. Ci użytkownicy są odpowiedzialni przede wszystkim za jakość i strukturę wiedzy. Ten użytkownik ma pełne uprawnienia do akcji zarządzania tematami w celu potwierdzenia tematu, zatwierdzenia edycji lub usunięcia tematu. Ta rola może również zarządzać taksonomiami w ramach narzędzia do zarządzania magazynami terminów i tworzyć centra zawartości.

Akcje opis
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/createAsOwner Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel.
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Odczytywanie raportów analitycznych o zrozumieniu zawartości w Centrum administracyjne platformy Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator licencji

Użytkownicy tej roli mogą odczytywać, dodawać, usuwać i aktualizować przypisania licencji dla użytkowników, grup (przy użyciu licencjonowania opartego na grupach) i zarządzać lokalizacją użycia użytkowników. Rola nie udziela możliwości zakupu subskrypcji ani zarządzania nimi, tworzenia grup lub zarządzania nimi ani tworzenia użytkowników poza lokalizacją użycia ani zarządzania nimi. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/usageLocation/update Aktualizowanie lokalizacji użycia użytkowników
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Przepływy pracy cyklu życia Administracja istrator

Przypisz role przepływów pracy cyklu życia Administracja istrator użytkownikom, którzy muszą wykonywać następujące zadania:

  • Tworzenie wszystkich aspektów przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzanie nimi w identyfikatorze Entra firmy Microsoft
  • Sprawdzanie wykonywania zaplanowanych przepływów pracy
  • Uruchamianie przebiegów przepływu pracy na żądanie
  • Inspekcja dzienników wykonywania przepływu pracy
Akcje opis
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Zarządzanie wszystkimi aspektami przepływów pracy i zadań cyklu życia w identyfikatorze Entra firmy Microsoft
microsoft.directory/organization/strongAuthentication/read Odczytywanie właściwości silnego uwierzytelniania organizacji

Czytelnik prywatności Centrum wiadomości

Użytkownicy tej roli mogą monitorować wszystkie powiadomienia w Centrum wiadomości, w tym komunikaty o ochronie prywatności danych. Czytelnicy prywatności w Centrum wiadomości otrzymują powiadomienia e-mail, w tym powiadomienia dotyczące prywatności danych i mogą anulować subskrypcję przy użyciu preferencji Centrum wiadomości. Tylko globalny Administracja istrator i czytelnik prywatności Centrum wiadomości mogą odczytywać komunikaty o ochronie prywatności danych. Ponadto ta rola zawiera możliwość wyświetlania grup, domen i subskrypcji. Ta rola nie ma uprawnień do wyświetlania, tworzenia żądań obsługi ani zarządzania nimi.

Akcje opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.messageCenter/securityMessages/read Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Czytelnik Centrum wiadomości

Użytkownicy tej roli mogą monitorować powiadomienia i porady dotyczące aktualizacji kondycji w Centrum wiadomości dla swojej organizacji na skonfigurowanych usługach, takich jak Exchange, Intune i Microsoft Teams. Czytelnicy Centrum wiadomości otrzymują cotygodniowe skróty wiadomości e-mail postów, aktualizacji i mogą udostępniać wpisy centrum wiadomości na platformie Microsoft 365. W usłudze Microsoft Entra ID użytkownicy przypisani do tej roli będą mieli dostęp tylko do odczytu w usługach Firmy Microsoft Entra, takich jak użytkownicy i grupy. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator migracji platformy Microsoft 365

Przypisz rolę Administracja istratora migracji platformy Microsoft 365 do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie migracją zawartości do platformy Microsoft 365 za pomocą programu Migration Manager w Centrum administracyjne platformy Microsoft 365, w tym aplikacji Teams, OneDrive dla Firm i witryn programu SharePoint, z usługi Google Drive, Dropbox, Box i Egnyte
  • Wybieranie źródeł migracji, tworzenie spisów migracji (takich jak listy użytkowników dysku Google), planowanie i wykonywanie migracji oraz pobieranie raportów
  • Utwórz nowe witryny programu SharePoint, jeśli witryny docelowe jeszcze nie istnieją, utwórz listy programu SharePoint w witrynach administracyjnych programu SharePoint i utwórz i zaktualizuj elementy na listach programu SharePoint
  • Zarządzanie ustawieniami projektu migracji i cyklem życia migracji pod kątem zadań
  • Zarządzanie mapowaniami uprawnień ze źródła do miejsca docelowego

Uwaga

Ta rola nie umożliwia migracji ze źródeł udziałów plików przy użyciu centrum administracyjnego programu SharePoint. Do migracji ze źródeł udziału plików można użyć roli Administracja istrator programu SharePoint.

Dowiedz się więcej

Akcje opis
microsoft.office365.migrations/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi

Lokalny Administracja istrator urządzenia dołączonego do firmy Microsoft

Ta rola jest dostępna tylko dla przypisania jako dodatkowy administrator lokalny w ustawieniach urządzenia. Użytkownicy z tą rolą stają się administratorami komputerów lokalnych na wszystkich urządzeniach z systemem Windows 10, które są przyłączone do identyfikatora Entra firmy Microsoft. Nie mają możliwości zarządzania obiektami urządzeń w identyfikatorze Entra firmy Microsoft.

Akcje opis
microsoft.directory/group Ustawienia/standard/read Odczytywanie podstawowych właściwości ustawień grupy
microsoft.directory/groupSettingTemplates/standard/read Odczytywanie podstawowych właściwości szablonów ustawień grupy

Administracja istrator gwarancji sprzętu firmy Microsoft

Przypisz rolę Administracja istratora gwarancji sprzętowej firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:

  • Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
  • Wyszukiwanie i odczytywanie otwartych lub zamkniętych roszczeń dotyczących gwarancji
  • Wyszukiwanie i odczytywanie oświadczeń gwarancji według numeru seryjnego
  • Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych
  • Przeczytaj stan wysyłki dla otwartych roszczeń dotyczących gwarancji
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
  • Przeczytaj anonse centrum wiadomości w Centrum administracyjne platformy Microsoft 365

Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.

Akcje opis
microsoft.hardware.support/shippingAddress/allProperties/allTasks Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym adresów wysyłkowych utworzonych przez inne osoby
microsoft.hardware.support/shippingStatus/allProperties/read Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Tworzenie wszystkich aspektów gwarancji sprzętowych firmy Microsoft i zarządzanie nimi
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Specjalista od gwarancji sprzętowych firmy Microsoft

Przypisz specjalistę ds. gwarancji sprzętowych firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:

  • Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
  • Odczytywanie oświadczeń gwarancji utworzonych przez nich
  • Odczytywanie i aktualizowanie istniejących adresów wysyłkowych
  • Przeczytaj stan wysyłki dla utworzonych przez nich oświadczeń dotyczących gwarancji otwarcia
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365

Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.

Akcje opis
microsoft.hardware.support/shippingAddress/allProperties/read Odczytywanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym istniejących adresów wysyłkowych utworzonych przez inne osoby
microsoft.hardware.support/warrantyClaims/createAsOwner Tworzenie oświadczeń dotyczących gwarancji sprzętowych firmy Microsoft, w których twórca jest właścicielem
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft
microsoft.hardware.support/warrantyClaims/allProperties/read Przeczytaj oświadczenia dotyczące gwarancji sprzętowych firmy Microsoft

Modern Commerce Administracja istrator

Nie używaj. Ta rola jest automatycznie przypisywana z obszaru Commerce i nie jest przeznaczona ani obsługiwana w przypadku żadnego innego użycia. Zobacz szczegóły poniżej.

Rola nowoczesnego Administracja istratora umożliwia niektórym użytkownikom dostęp do Centrum administracyjne platformy Microsoft 365 i wyświetlanie wpisów nawigacji po lewej stronie dla strony głównej, rozliczeń i pomocy technicznej. Zawartość dostępna w tych obszarach jest kontrolowana przez role specyficzne dla handlu przypisane do użytkowników w celu zarządzania produktami zakupionymi dla siebie lub organizacji. Może to obejmować zadania, takie jak płacenie rachunków, lub dostęp do kont rozliczeniowych i profilów rozliczeniowych.

Użytkownicy z rolą nowoczesnego Administracja istratora zazwyczaj mają uprawnienia administracyjne w innych systemach zakupów firmy Microsoft, ale nie mają ról globalnych Administracja istratora lub Administracja istratora rozliczeń używanych do uzyskiwania dostępu do centrum administracyjnego.

Kiedy przypisano rolę nowoczesnego Administracja istratora?

  • Zakup samoobsługowy w Centrum administracyjne platformy Microsoft 365 — zakup samoobsługowy daje użytkownikom możliwość wypróbowania nowych produktów przez zakup lub zarejestrowanie się na własną rękę. Te produkty są zarządzane w centrum administracyjnym. Użytkownicy, którzy dokonają zakupu samoobsługowego, mają przypisaną rolę w systemie handlowym oraz rolę nowoczesnego handlu Administracja istratora, aby mogli zarządzać zakupami w centrum administracyjnym. Administracja mogą blokować zakupy samoobsługowe (w przypadku usług Fabric, Power BI, Power Apps, Power Automate) za pośrednictwem usługi PowerShell. Aby uzyskać więcej informacji, zobacz Samoobsługowy zakup — często zadawane pytania.
  • Zakupy z komercyjnej platformy handlowej firmy Microsoft — podobnie jak w przypadku zakupu samoobsługowego, gdy użytkownik kupuje produkt lub usługę z witryny Microsoft AppSource lub Witryny Azure Marketplace, przypisana jest rola nowoczesnego Administracja istratora handlu, jeśli nie ma roli globalnego Administracja istratora lub Administracja istratora rozliczeń. W niektórych przypadkach użytkownicy mogą mieć zablokowaną możliwość dokonywania tych zakupów. Aby uzyskać więcej informacji, zobacz Platforma handlowa firmy Microsoft.
  • Propozycje firmy Microsoft — propozycja to formalna oferta firmy Microsoft dla Twojej organizacji, która umożliwia zakup produktów i usług firmy Microsoft. Gdy osoba akceptująca propozycję nie ma roli globalnego Administracja istratora lub Administracja istratora rozliczeń w identyfikatorze Entra firmy Microsoft, ma przypisaną zarówno rolę specyficzną dla handlu, aby ukończyć propozycję, jak i rolę nowoczesnego Administracja istratora w celu uzyskania dostępu do centrum administracyjnego. Gdy uzyskują dostęp do centrum administracyjnego, mogą używać tylko funkcji autoryzowanych przez ich rolę specyficzną dla handlu.
  • Role specyficzne dla handlu — niektórzy użytkownicy mają przypisane role specyficzne dla handlu. Jeśli użytkownik nie jest administratorem globalnym Administracja istratorem lub administratorem rozliczeń Administracja istratorem, uzyska rolę Administracja istratora nowoczesnego handlu, aby mógł uzyskać dostęp do centrum administracyjnego.

Jeśli rola modern commerce Administracja istrator jest nieprzypisane od użytkownika, utraci dostęp do Centrum administracyjne platformy Microsoft 365. Jeśli zarządzali żadnymi produktami, zarówno dla siebie, jak i dla Twojej organizacji, nie będą mogli nimi zarządzać. Może to obejmować przypisywanie licencji, zmienianie form płatności, płacenie rachunków lub inne zadania do zarządzania subskrypcjami.

Akcje opis
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Zarządzanie wszystkimi aspektami centrum usługi licencjonowania zbiorowego
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/basic/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator sieci

Użytkownicy w tej roli mogą przeglądać zalecenia dotyczące architektury obwodowej sieci firmy Microsoft, które są oparte na telemetrii sieciowej z lokalizacji użytkowników. Wydajność sieci dla platformy Microsoft 365 opiera się na starannej architekturze obwodowej sieci klienta przedsiębiorstwa, która jest zazwyczaj specyficzna dla lokalizacji użytkownika. Ta rola umożliwia edytowanie odnalezionych lokalizacji użytkownika i konfiguracji parametrów sieciowych dla tych lokalizacji w celu ułatwienia ulepszonych pomiarów telemetrii i zaleceń dotyczących projektowania

Akcje opis
microsoft.office365.network/locations/allProperties/allTasks Zarządzanie wszystkimi aspektami lokalizacji sieciowych
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator aplikacji pakietu Office

Użytkownicy w tej roli mogą zarządzać ustawieniami chmury aplikacji platformy Microsoft 365. Obejmuje to zarządzanie zasadami w chmurze, samoobsługowe zarządzanie pobieraniem oraz możliwość wyświetlania raportów związanych z aplikacja pakietu Office. Ta rola dodatkowo umożliwia zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi w głównym centrum administracyjnym. Użytkownicy przypisani do tej roli mogą również zarządzać komunikacją nowych funkcji w aplikacja pakietu Office.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.userCommunication/allEntities/allTasks Odczytywanie i aktualizowanie nowych komunikatów
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator znakowania organizacyjnego

Przypisz rolę Administracja istratora organizacyjnego do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie wszystkimi aspektami znakowania organizacyjnego w dzierżawie
  • Odczytywanie, tworzenie, aktualizowanie i usuwanie motywów znakowania
  • Zarządzanie domyślnym motywem znakowania i wszystkimi motywami lokalizacji znakowania
Akcje opis
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Tworzenie i usuwanie identyfikatora loginTenantBranding oraz odczytywanie i aktualizowanie wszystkich właściwości

Składnik zapisywania komunikatów organizacyjnych

Przypisz rolę Moduł zapisywania komunikatów organizacyjnych do użytkowników, którzy muszą wykonywać następujące zadania:

  • Pisanie, publikowanie i usuwanie komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
  • Zarządzanie opcjami dostarczania komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
  • Odczytywanie wyników dostarczania komunikatów organizacji przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
  • Wyświetlanie raportów użycia i większości ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można wprowadzać zmian
Akcje opis
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami tworzenia wiadomości organizacyjnych platformy Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Pomoc techniczna dla partnerów w warstwie 1

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.

Ważne

Ta rola może resetować hasła i unieważniać tokeny odświeżania tylko dla innych niż administratorzy. Nie należy używać tej roli, ponieważ jest przestarzała.

Akcje opis
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu pierwotnego
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do oryginalnego stanu
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodaj użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/delete Usuwanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Pomoc techniczna dla partnerów w warstwie 2

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.

Ważne

Ta rola może resetować hasła i unieważniać tokeny odświeżania dla wszystkich administratorów i administratorów (w tym globalnych Administracja istratorów). Nie należy używać tej roli, ponieważ jest przestarzała.

Akcje opis
microsoft.directory/applications/appRoles/update Aktualizowanie właściwości appRoles we wszystkich typach aplikacji
microsoft.directory/applications/audience/update Aktualizowanie właściwości odbiorców dla aplikacji
microsoft.directory/applications/authentication/update Aktualizowanie uwierzytelniania we wszystkich typach aplikacji
microsoft.directory/applications/basic/update Aktualizowanie podstawowych właściwości aplikacji
microsoft.directory/applications/credentials/update Aktualizowanie poświadczeń aplikacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/applications/notes/update Informacje o aktualizacjach aplikacji
microsoft.directory/applications/owner/update Aktualizowanie właścicieli aplikacji
microsoft.directory/applications/permissions/update Aktualizowanie uwidocznionych uprawnień i wymaganych uprawnień dla wszystkich typów aplikacji
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/applications/tag/update Aktualizowanie tagów aplikacji
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu pierwotnego
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do oryginalnego stanu
microsoft.directory/domains/allProperties/allTasks Tworzenie i usuwanie domen oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/organization/basic/update Aktualizowanie podstawowych właściwości w organizacji
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie właściwości scopedRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/subscribedSkus/standard/read Odczytywanie podstawowych właściwości subskrypcji
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodaj użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/delete Usuwanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator haseł

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają ograniczoną możliwość zarządzania hasłami. Ta rola nie zapewnia możliwości zarządzania żądaniami obsługi ani monitorowania kondycji usługi. To, czy Administracja istrator haseł może zresetować hasło użytkownika, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, dla których Administracja istrator haseł może resetować hasła, zobacz KtoTo może resetować hasła.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
Akcje opis
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator zarządzania uprawnieniami

Przypisz rolę zarządzanie uprawnieniami Administracja istrator do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra, gdy usługa jest obecna

Dowiedz się więcej o rolach i zasadach zarządzania uprawnieniami na stronie Wyświetlanie informacji o rolach/zasadach.

Akcje opis
microsoft.permissionsManagement/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra

Administracja istrator platformy Power Platform

Użytkownicy w tej roli mogą tworzyć wszystkie aspekty środowisk, usługi Power Apps, przepływów, ochrony przed utratą danych i zarządzać nimi. Ponadto użytkownicy z tą rolą mogą zarządzać biletami pomocy technicznej i monitorować kondycję usługi.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.dynamics365/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Dynamics 365
microsoft.flow/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.powerApps/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Power Apps

Administracja istrator drukarki

Użytkownicy tej roli mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia Połączenie or usługi Universal Print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administracja istratory drukarek mają również dostęp do drukowania raportów.

Akcje opis
microsoft.azure.print/allEntities/allProperties/allTasks Tworzenie i usuwanie drukarek i łączników oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Print

Technik drukarki

Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać stanem drukarki w rozwiązaniu Microsoft Universal Print. Mogą również odczytywać wszystkie informacje o łączniku. Nie można ustawić uprawnień użytkownika na drukarkach i udostępniania drukarek.

Akcje opis
microsoft.azure.print/connectors/allProperties/read Odczytywanie wszystkich właściwości łączników w usłudze Microsoft Print
microsoft.azure.print/printers/allProperties/read Odczytywanie wszystkich właściwości drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/register Rejestrowanie drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/unregister Wyrejestrowywanie drukarek w usłudze Microsoft Print
microsoft.azure.print/printers/basic/update Aktualizowanie podstawowych właściwości drukarek w usłudze Microsoft Print

Administrator uwierzytelniania uprzywilejowanego

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora uwierzytelniania uprzywilejowanego do użytkowników, którzy muszą wykonać następujące czynności:

  • Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla dowolnego użytkownika, w tym globalne Administracja istratory.
  • Usuń lub przywróć wszystkich użytkowników, w tym globalnych Administracja istratorów. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
  • Wymuś ponowne zarejestrowanie się użytkowników przed istniejącymi poświadczeniami innych niż hasło (np. uwierzytelnianie wieloskładnikowe lub fiDO) i odwoływanie zapamiętania uwierzytelniania wieloskładnikowego na urządzeniu, monitując o uwierzytelnianie wieloskładnikowe podczas następnego logowania wszystkich użytkowników.
  • Aktualizowanie właściwości poufnych dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz KtoTo może wykonywać poufne akcje.
  • Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zarządzać usługą MFA dla poszczególnych użytkowników w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym.

W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.

Rola Zarządzanie metodami uwierzytelniania użytkownika Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego Zarządzanie zasadami metody uwierzytelniania Zarządzanie zasadami ochrony hasłem Aktualizowanie właściwości poufnych Usuwanie i przywracanie użytkowników
Administracja istrator uwierzytelniania Tak dla niektórych użytkowników Tak dla niektórych użytkowników Nie Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników
Administracja istrator uwierzytelniania uprzywilejowanego Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników Nie Nie. Nie Tak dla wszystkich użytkowników Tak dla wszystkich użytkowników
Administracja istrator zasad uwierzytelniania Nie Nie. Tak Tak Tak Nie. Nie
Administrator użytkowników Nie Nie. Nie. Nie. Nie Tak dla niektórych użytkowników Tak dla niektórych użytkowników

Ważne

Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom uwierzytelniania. Za pomocą tej ścieżki Administracja istrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
  • Administracja istratory w innych usługach spoza firmy Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender i portal zgodności Microsoft Purview oraz systemy zasobów ludzkich.
  • Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Akcje opis
microsoft.directory/users/authenticationMethods/create Aktualizowanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/delete Usuwanie metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/standard/read Odczytywanie standardowych właściwości metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/authenticationMethods/basic/update Aktualizowanie podstawowych właściwości metod uwierzytelniania dla użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do oryginalnego stanu
microsoft.directory/users/delete Usuwanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/authorizationInfo/update Aktualizowanie właściwości identyfikatorów użytkownika certyfikatu wielowartościowego użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator ról uprzywilejowanych

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Microsoft Entra ID, a także w usłudze Microsoft Entra Privileged Identity Management. Mogą tworzyć grupy, które można przypisać do ról firmy Microsoft Entra i zarządzać nimi. Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi Privileged Identity Management i jednostek administracyjnych.

Ważne

Ta rola umożliwia zarządzanie przypisaniami dla wszystkich ról firmy Microsoft Entra, w tym roli globalnego Administracja istratora. Ta rola nie obejmuje żadnych innych uprzywilejowanych możliwości w identyfikatorze Entra firmy Microsoft, takich jak tworzenie lub aktualizowanie użytkowników. Jednak użytkownicy przypisani do tej roli mogą przyznać sobie lub innym dodatkowym uprawnieniem, przypisując dodatkowe role.

Akcje opis
microsoft.directory/accessReviews/definitions.applications/allProperties/read Odczytywanie wszystkich właściwości przeglądów dostępu przypisań ról aplikacji w usłudze Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań ról firmy Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aktualizowanie wszystkich właściwości przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról firmy Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Tworzenie przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról firmy Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Usuwanie przeglądów dostępu dla członkostwa w grupach, które można przypisać do ról firmy Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dotyczących członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/administrativeUnits/allProperties/allTasks Tworzenie jednostek administracyjnych (w tym członków) i zarządzanie nimi
microsoft.directory/authorizationPolicy/allProperties/allTasks Zarządzanie wszystkimi aspektami zasad autoryzacji
Ikona etykiety uprzywilejowanej.
microsoft.directory/directoryRoles/allProperties/allTasks Tworzenie i usuwanie ról katalogu oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/groupsAssignableToRoles/create Tworzenie grup z możliwością przypisania do roli
microsoft.directory/groupsAssignableToRoles/delete Usuwanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/restore Przywracanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizowanie grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/assignLicense Przypisywanie licencji do grup z możliwością przypisywania ról
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji do grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Tworzenie i usuwanie przypisań ról oraz odczytywanie i aktualizowanie wszystkich właściwości przypisania roli
microsoft.directory/roleDefinitions/allProperties/allTasks Tworzenie i usuwanie definicji ról oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Tworzenie i usuwanie właściwości scopedRoleMemberships oraz odczytywanie i aktualizowanie wszystkich właściwości
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/servicePrincipals/permissions/update Aktualizowanie uprawnień jednostek usługi
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udzielanie zgody na wszelkie uprawnienia do dowolnej aplikacji
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.directory/permissionGrantPolicies/create Tworzenie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/delete Usuwanie zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/allProperties/read Odczytywanie wszystkich właściwości zasad udzielania uprawnień
microsoft.directory/permissionGrantPolicies/allProperties/update Aktualizowanie wszystkich właściwości zasad udzielania uprawnień

Czytelnik raportów

Użytkownicy z tą rolą mogą wyświetlać dane raportowania użycia i pulpit nawigacyjny raportów w Centrum administracyjne platformy Microsoft 365 oraz pakiet kontekstu wdrożenia w usłudze Fabric i Power BI. Ponadto rola zapewnia dostęp do wszystkich dzienników logowania, dzienników inspekcji i raportów aktywności w usłudze Microsoft Entra ID i danych zwracanych przez interfejs API raportowania programu Microsoft Graph. Użytkownik przypisany do roli Czytelnik raportów może uzyskiwać dostęp tylko do odpowiednich metryk użycia i wdrażania. Nie mają żadnych uprawnień administratora do konfigurowania ustawień ani uzyskiwania dostępu do centrów administracyjnych specyficznych dla produktu, takich jak Exchange. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator wyszukiwania

Użytkownicy tej roli mają pełny dostęp do wszystkich funkcji zarządzania usługą Microsoft Search w Centrum administracyjne platformy Microsoft 365. Ponadto ci użytkownicy mogą wyświetlać centrum komunikatów, monitorować kondycję usługi i tworzyć żądania obsługi.

Akcje opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Edytor wyszukiwania

Użytkownicy tej roli mogą tworzyć i usuwać zawartość usługi Microsoft Search oraz zarządzać nią w Centrum administracyjne platformy Microsoft 365, w tym zakładki, pytania i lokalizacje.

Akcje opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.search/content/manage Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator zabezpieczeń

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zabezpieczeniami w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, uwierzytelnianiem firmy Microsoft Entra, usługą Azure Information Protection i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.

W Może to zrobić
Portal usługi Microsoft 365 Defender Monitorowanie zasad związanych z zabezpieczeniami w usługach Microsoft 365
Zarządzanie zagrożeniami bezpieczeństwa i alertami
Wyświetlanie raportów
Identity Protection Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wykonaj wszystkie operacje usługi Identity Protection z wyjątkiem resetowania haseł
Privileged Identity Management Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Nie można zarządzać przypisaniami ról ani ustawieniami entra firmy Microsoft
Portal zgodności Microsoft Purview Zarządzanie zasadami zabezpieczeń
Wyświetlanie, badanie i reagowanie na zagrożenia bezpieczeństwa
Wyświetlanie raportów
Azure Advanced Threat Protection Monitorowanie podejrzanych działań zabezpieczeń i reagowanie na nie
Ochrona punktu końcowego w usłudze Microsoft Defender Przypisywanie ról
Zarządzanie grupami maszyn
Konfigurowanie wykrywania zagrożeń punktu końcowego i zautomatyzowanego korygowania
Wyświetlanie, badanie i reagowanie na alerty
Wyświetlanie spisu maszyn/urządzeń
Intune Wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji
Nie można wprowadzić zmian w usłudze Intune
aplikacje Microsoft Defender dla Chmury Dodawanie administratorów, dodawanie zasad i ustawień, przekazywanie dzienników i wykonywanie akcji ładu
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Inteligentna blokada Zdefiniuj próg i czas trwania blokad po wystąpieniu zdarzeń logowania zakończonych niepowodzeniem.
Ochrona haseł Skonfiguruj niestandardową listę zakazanych haseł lub lokalną ochronę haseł.
Synchronizacja między dzierżawami Skonfiguruj ustawienia dostępu między dzierżawami dla użytkowników w innej dzierżawie. Administracja istratory zabezpieczeń nie mogą bezpośrednio tworzyć i usuwać użytkowników, ale mogą pośrednio tworzyć i usuwać zsynchronizowanych użytkowników z innej dzierżawy, gdy obie dzierżawy są skonfigurowane do synchronizacji między dzierżawami, co jest uprawnieniem uprzywilejowanym.
Akcje opis
microsoft.directory/applications/policies/update Aktualizowanie zasad aplikacji
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizowanie podstawowych ustawień zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Połączenie/update Aktualizowanie ustawień połączenia bezpośredniego usługi Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/delete Usuwanie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizowanie szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Ustawienia Resetowanie szablonu zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami do ustawień domyślnych
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Przeczytaj podstawowe właściwości szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizowanie szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Ustawienia Resetowanie szablonu zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami do ustawień domyślnych
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Zapoznaj się z podstawowymi właściwościami szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Połączenie/update Aktualizowanie ustawień połączenia bezpośredniego usługi Microsoft Entra B2B dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizowanie ograniczeń dzierżawy zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Tworzenie zasad synchronizacji między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizowanie podstawowych ustawień zasad synchronizacji między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Odczytywanie podstawowych właściwości zasad synchronizacji między dzierżawami
microsoft.directory/deviceLocalCredentials/standard/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra z wyjątkiem hasła
microsoft.directory/domains/federation/update Aktualizowanie właściwości federacji domen
Ikona etykiety uprzywilejowanej.
microsoft.directory/domains/federationConfiguration/standard/read Odczytywanie standardowych właściwości konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/basic/update Aktualizowanie podstawowej konfiguracji federacyjnej dla domen
microsoft.directory/domains/federationConfiguration/create Tworzenie konfiguracji federacji dla domen
microsoft.directory/domains/federationConfiguration/delete Usuwanie konfiguracji federacji dla domen
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Ochrona tożsamości Microsoft Entra
microsoft.directory/identityProtection/allProperties/update Aktualizowanie wszystkich zasobów w Ochrona tożsamości Microsoft Entra
Ikona etykiety uprzywilejowanej.
microsoft.directory/multiTenantOrganization/basic/update Aktualizowanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/create Tworzenie organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Dołączanie do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Odczytywanie właściwości żądania dołączenia do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/standard/read Odczytywanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizowanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/create Tworzenie dzierżawy w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/delete Usuwanie dzierżawy uczestniczącej w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Odczytywanie szczegółów organizacji dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/standard/read Odczytywanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/namedLocations/create Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/delete Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/namedLocations/basic/update Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/policies/create Tworzenie zasad w identyfikatorze Entra firmy Microsoft
microsoft.directory/policies/delete Usuwanie zasad w identyfikatorze Entra firmy Microsoft
microsoft.directory/policies/basic/update Aktualizowanie podstawowych właściwości zasad
Ikona etykiety uprzywilejowanej.
microsoft.directory/policies/owner/update Aktualizowanie właścicieli zasad
microsoft.directory/policies/tenantDefault/update Aktualizowanie domyślnych zasad organizacji
microsoft.directory/conditionalAccessPolicies/create Tworzenie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/delete Usuwanie zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owner/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "zastosowana do" dla zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizowanie podstawowych właściwości zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/owner/update Aktualizowanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizowanie dzierżawy domyślnej dla zasad dostępu warunkowego
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w usłudze Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizowanie kontekstu uwierzytelniania dostępu warunkowego akcji zasobów kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365
Ikona etykiety uprzywilejowanej.
microsoft.directory/servicePrincipals/policies/update Aktualizowanie zasad jednostek usługi
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.networkAccess/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami dostępu do sieci firmy Microsoft
microsoft.office365.protectionCenter/allEntities/standard/read Odczytywanie standardowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/allEntities/basic/update Aktualizowanie podstawowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Tworzenie szablonów symulacji ataku i zarządzanie nimi w symulatorze ataku
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Operator zabezpieczeń

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu w funkcjach związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.

W Może to zrobić
Portal usługi Microsoft 365 Defender Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zagrożeń bezpieczeństwa
Zarządzanie ustawieniami zabezpieczeń w portalu usługi Microsoft 365 Defender
Identity Protection Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wykonaj wszystkie operacje usługi Identity Protection z wyjątkiem konfigurowania lub zmieniania zasad opartych na ryzyku, resetowania haseł i konfigurowania wiadomości e-mail z alertami.
Privileged Identity Management Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Portal zgodności Microsoft Purview Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Ochrona punktu końcowego w usłudze Microsoft Defender Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli.
Intune Wszystkie uprawnienia roli Czytelnik zabezpieczeń
aplikacje Microsoft Defender dla Chmury Wszystkie uprawnienia roli Czytelnik zabezpieczeń
Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Akcje opis
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/cloudAppSecurity/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps
microsoft.directory/identityProtection/allProperties/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w Ochrona tożsamości Microsoft Entra
Ikona etykiety uprzywilejowanej.
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w usłudze Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.advancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.intune/allEntities/read Odczytywanie wszystkich zasobów w usłudze Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie standardowych właściwości w Centrum zabezpieczeń i zgodności usługi Office 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Zarządzanie wszystkimi aspektami Ochrona punktu końcowego w usłudze Microsoft Defender

Czytelnik zabezpieczeń

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają globalny dostęp tylko do odczytu dla funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management, a także możliwość odczytywania raportów logowania i dzienników inspekcji firmy Microsoft Entra oraz w dziennikach inspekcji portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.

W Może to zrobić
Portal usługi Microsoft 365 Defender Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365
Wyświetlanie zagrożeń i alertów zabezpieczeń
Wyświetlanie raportów
Identity Protection Wyświetlanie wszystkich raportów i przeglądów usługi Identity Protection
Privileged Identity Management Ma dostęp tylko do odczytu do wszystkich informacji wyświetlanych w usłudze Microsoft Entra Privileged Identity Management: zasady i raporty dotyczące przypisań ról i przeglądów zabezpieczeń firmy Microsoft Entra.
Nie można zarejestrować się w usłudze Microsoft Entra Privileged Identity Management ani wprowadzić w nim żadnych zmian. W portalu usługi Privileged Identity Management lub za pośrednictwem programu PowerShell ktoś z tej roli może aktywować dodatkowe role (na przykład globalny Administracja istrator lub Administracja istrator ról uprzywilejowanych), jeśli użytkownik kwalifikuje się do nich.
Portal zgodności Microsoft Purview Wyświetlanie zasad zabezpieczeń
Wyświetlanie i badanie zagrożeń bezpieczeństwa
Wyświetlanie raportów
Ochrona punktu końcowego w usłudze Microsoft Defender Wyświetlanie i badanie alertów
Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli.
Intune Wyświetla informacje o użytkownikach, urządzeniach, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w usłudze Intune.
aplikacje Microsoft Defender dla Chmury Ma uprawnienia do odczytu.
Kondycja usługi platformy Microsoft 365 Wyświetlanie kondycji usług Platformy Microsoft 365
Akcje opis
microsoft.directory/accessReviews/definitions/allProperties/read Odczytywanie wszystkich właściwości przeglądów dostępu wszystkich możliwych do przejrzenia zasobów w identyfikatorze Entra firmy Microsoft
microsoft.directory/auditLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/bitlockerKeys/key/read Odczytywanie metadanych i klucza funkcji BitLocker na urządzeniach
Ikona etykiety uprzywilejowanej.
microsoft.directory/deviceLocalCredentials/standard/read Odczytywanie wszystkich właściwości poświadczeń konta administratora lokalnego dla urządzeń dołączonych do firmy Microsoft Entra z wyjątkiem hasła
microsoft.directory/domains/federationConfiguration/standard/read Odczytywanie standardowych właściwości konfiguracji federacyjnej dla domen
microsoft.directory/entitlementManagement/allProperties/read Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Odczytywanie wszystkich zasobów w usłudze Ochrona tożsamości Microsoft Entra
microsoft.directory/namedLocations/standard/read Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/policies/owner/read Odczytywanie właścicieli zasad
microsoft.directory/policies/policyAppliedTo/read Odczyt właściwości policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Odczyt dostępu warunkowego dla zasad
microsoft.directory/conditionalAccessPolicies/owner/read Odczytywanie właścicieli zasad dostępu warunkowego
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Przeczytaj właściwość "zastosowana do" dla zasad dostępu warunkowego
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Przeczytaj podstawowe właściwości szablonów zasad synchronizacji między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Zapoznaj się z podstawowymi właściwościami szablonów zasad dostępu między dzierżawami dla organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Odczytywanie właściwości żądania dołączenia do organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/standard/read Odczytywanie podstawowych właściwości organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Odczytywanie szczegółów organizacji dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/multiTenantOrganization/tenants/standard/read Odczytywanie podstawowych właściwości dzierżawy uczestniczących w organizacji z wieloma dzierżawami
microsoft.directory/privilegedIdentityManagement/allProperties/read Odczytywanie wszystkich zasobów w usłudze Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Odczytywanie wszystkich właściwości dzienników aprowizacji
microsoft.directory/signInReports/allProperties/read Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.networkAccess/allEntities/allProperties/read Przeczytaj wszystkie aspekty programu Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Odczytywanie standardowych właściwości wszystkich zasobów w centrach zabezpieczeń i zgodności
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Odczytywanie wszystkich właściwości ładunków ataku w symulatorze ataku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Odczytywanie wszystkich właściwości szablonów symulacji ataku w symulatorze ataku
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator pomocy technicznej usługi

Użytkownicy z tą rolą mogą tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz wyświetlać pulpit nawigacyjny usługi i centrum komunikatów w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.

Uwaga

Ta rola nosiła wcześniej nazwę Service Administracja istrator w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Zmieniono jego nazwę na Service Support Administracja istrator w celu dopasowania do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Azure AD PowerShell.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator programu SharePoint

Użytkownicy z tą rolą mają uprawnienia globalne w ramach Microsoft Office SharePoint Online, gdy usługa jest obecna, a także możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.

Uwaga

W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Administracja istrator usługi sharePoint. W witrynie Azure Portal nosi nazwę SharePoint Administracja istrator.

Uwaga

Ta rola udziela również uprawnień o określonym zakresie do interfejsu API programu Microsoft Graph dla usługi Microsoft Intune, umożliwiając zarządzanie i konfigurację zasad związanych z zasobami programu SharePoint i usługi OneDrive.

Akcje opis
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owners/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.migrations/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Skype dla firm Administracja istrator

Użytkownicy z tą rolą mają uprawnienia globalne w ramach usługi Microsoft Skype dla firm, gdy usługa jest obecna, a także zarządzają atrybutami użytkownika specyficznymi dla skype'a w identyfikatorze Entra firmy Microsoft. Ponadto ta rola zapewnia możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi oraz uzyskiwania dostępu do aplikacji Teams i Skype dla firm centrum administracyjnego. Konto musi być również licencjonowane dla usługi Teams lub nie może uruchamiać poleceń cmdlet programu PowerShell w usłudze Teams. Aby uzyskać więcej informacji, zobacz Skype dla firm Online Administracja i informacje o licencjonowaniu usługi Teams na stronie Skype dla firm licencjonowania dodatku.

Uwaga

W interfejsie API programu Microsoft Graph i programie Azure AD PowerShell ta rola nosi nazwę Lync Service Administracja istrator. W witrynie Azure Portal nosi nazwę Skype dla firm Administracja istrator.

Akcje opis
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator usługi Teams

Użytkownicy w tej roli mogą zarządzać wszystkimi aspektami obciążenia usługi Microsoft Teams za pośrednictwem centrum administracyjnego usługi Microsoft Teams i Skype dla firm oraz odpowiednich modułów programu PowerShell. Obejmuje to między innymi wszystkie narzędzia do zarządzania związane z telefonią, wiadomościami, spotkaniami i samymi zespołami. Ta rola dodatkowo zapewnia możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owners/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Zarządzanie wszystkimi zasobami w usłudze Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/standard/read Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami
microsoft.directory/crossTenantAccessPolicy/partners/create Tworzenie zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów
microsoft.directory/pendingExternalUserProfiles/create Tworzenie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/pendingExternalUserProfiles/delete Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/standard/read Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/basic/update Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/externalUserProfiles/delete Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams
microsoft.directory/permissionGrantPolicies/standard/read Odczytywanie standardowych właściwości zasad udzielania uprawnień

Administracja istrator komunikacji usługi Teams

Użytkownicy w tej roli mogą zarządzać aspektami obciążenia usługi Microsoft Teams powiązanymi z telefonią głosową i telefonią. Obejmuje to narzędzia do zarządzania na potrzeby przypisywania numerów telefonów, zasad głosowych i spotkań oraz pełnego dostępu do zestawu narzędzi analizy połączeń.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/allProperties/read Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD)
microsoft.teams/meetings/allProperties/allTasks Zarządzanie spotkaniami, w tym zasadami spotkań, konfiguracjami i mostkami konferencji
microsoft.teams/voice/allProperties/allTasks Zarządzanie głosem, w tym zasadami połączeń i spisem numerów telefonów i przypisaniem

Inżynier pomocy technicznej aplikacji Teams Communications

Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać pełne informacje o rekordzie połączeń dla wszystkich zaangażowanych uczestników. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/allProperties/read Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD)

Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams

Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać tylko szczegóły użytkownika w wywołaniu dla określonego użytkownika, którego szukali. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.

Akcje opis
microsoft.directory/authorizationPolicy/standard/read Odczytywanie standardowych właściwości zasad autoryzacji
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Zarządzanie wszystkimi aspektami usługi Skype dla firm Online
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/callQuality/standard/read Odczytywanie podstawowych danych na pulpicie nawigacyjnym jakości wywołań (CQD)

Usługa Teams Devices Administracja istrator

Użytkownicy z tą rolą mogą zarządzać urządzeniami certyfikowanymi przez usługę Teams z poziomu centrum administracyjnego usługi Teams. Ta rola umożliwia wyświetlanie wszystkich urządzeń na pierwszy rzut oka z możliwością wyszukiwania i filtrowania urządzeń. Użytkownik może sprawdzić szczegóły każdego urządzenia, w tym zalogowanego konta, tworzenia i modelowania urządzenia. Użytkownik może zmienić ustawienia na urządzeniu i zaktualizować wersje oprogramowania. Ta rola nie udziela uprawnień do sprawdzania aktywności usługi Teams i jakości wywołań urządzenia.

Akcje opis
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.teams/devices/standard/read Zarządzanie wszystkimi aspektami urządzeń certyfikowanych przez usługę Teams, w tym zasadami konfiguracji

Twórca dzierżawy

Przypisz rolę Twórca dzierżawy do użytkowników, którzy muszą wykonywać następujące zadania:

  • Utwórz dzierżawy usługi Microsoft Entra i Azure Active Directory B2C, nawet jeśli przełącznik tworzenia dzierżawy jest wyłączony w ustawieniach użytkownika

Uwaga

Twórcy dzierżawy otrzymają rolę administratora globalnego w nowo utworzonych dzierżawach.

Akcje opis
microsoft.directory/tenantManagement/tenants/create Tworzenie nowych dzierżaw w usłudze Microsoft Entra ID

Czytelnik raportów podsumowania użycia

Przypisz rolę Czytelnik raportów podsumowania użycia do użytkowników, którzy muszą wykonywać następujące zadania w Centrum administracyjne platformy Microsoft 365:

  • Wyświetlanie raportów użycia i oceny wdrożenia
  • Odczytywanie szczegółowych informacji organizacji, ale nie dane osobowe użytkowników

Ta rola umożliwia tylko użytkownikom wyświetlanie danych na poziomie organizacji z następującymi wyjątkami:

  • Użytkownicy będący członkami mogą wyświetlać dane i ustawienia zarządzania użytkownikami.
  • Użytkownicy-goście przypisani do tej roli nie mogą wyświetlać danych i ustawień zarządzania użytkownikami.
Akcje opis
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administrator użytkowników

Ikona etykiety uprzywilejowanej.

Jest to rola uprzywilejowana. Przypisz rolę Administracja istratora użytkownika do użytkowników, którzy muszą wykonać następujące czynności:

Uprawnienie Więcej informacji
Tworzenie użytkowników
Aktualizowanie większości właściwości użytkownika dla wszystkich użytkowników, w tym wszystkich administratorów KtoTo może wykonywać poufne akcje
Aktualizowanie poufnych właściwości (w tym głównej nazwy użytkownika) dla niektórych użytkowników KtoTo może wykonywać poufne akcje
Wyłączanie lub włączanie niektórych użytkowników KtoTo może wykonywać poufne akcje
Usuwanie lub przywracanie niektórych użytkowników KtoTo może wykonywać poufne akcje
Tworzenie widoków użytkowników i zarządzanie nimi
Tworzenie wszystkich grup i zarządzanie nimi
Przypisywanie i odczytywanie licencji dla wszystkich użytkowników, w tym wszystkich administratorów
Resetowanie haseł KtoTo może resetować hasła
Unieważnianie tokenów odświeżania KtoTo może resetować hasła
Aktualizowanie kluczy urządzeń (FIDO)
Aktualizowanie zasad wygasania haseł
Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Monitorowanie kondycji usługi

Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:

  • Nie można zarządzać usługą MFA.
  • Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
  • Nie można zarządzać udostępnionymi skrzynkami pocztowymi.

Ważne

Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:

  • Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane Administracja istratorom użytkowników. Za pomocą tej ścieżki użytkownik Administracja istrator może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
  • Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
  • Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
  • Administracja istratory w innych usługach spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
  • Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Akcje opis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Zarządzanie przeglądami dostępu przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dla przypisań ról firmy Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami
microsoft.directory/accessReviews/definitions.groups/allProperties/update Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról.
microsoft.directory/accessReviews/definitions.groups/create Tworzenie przeglądów dostępu do członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Usuń przeglądy dostępu dotyczące członkostwa w grupach zabezpieczeń i platformy Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Przeczytaj wszystkie właściwości przeglądów dostępu dotyczących członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról.
microsoft.directory/contacts/create Tworzenie kontaktów
microsoft.directory/contacts/delete Usuwanie kontaktów
microsoft.directory/contacts/basic/update Aktualizowanie podstawowych właściwości kontaktów
microsoft.directory/deletedItems.groups/restore Przywracanie nietrwałych usuniętych grup do stanu pierwotnego
microsoft.directory/deletedItems.users/restore Przywracanie nietrwałych usuniętych użytkowników do oryginalnego stanu
microsoft.directory/entitlementManagement/allProperties/allTasks Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w zarządzaniu upoważnieniami firmy Microsoft
microsoft.directory/groups/assignLicense Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/create Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/delete Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach
microsoft.directory/groups/restore Przywracanie grup z kontenera usuniętego nietrwale
microsoft.directory/groups/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/groupType/update Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/members/update Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/onPremWriteBack/update Zaktualizuj grupy Firmy Microsoft Entra, aby zostały zapisane z powrotem do środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie
microsoft.directory/groups/owner/update Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups/settings/update Aktualizowanie ustawień grup
microsoft.directory/groups/visibility/update Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Tworzenie i usuwanie dotacji uprawnień protokołu OAuth 2.0 oraz odczytywanie i aktualizowanie wszystkich właściwości
Ikona etykiety uprzywilejowanej.
microsoft.directory/policies/standard/read Odczytywanie podstawowych właściwości zasad
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizowanie przypisań ról jednostki usługi
microsoft.directory/users/assignLicense Zarządzanie licencjami użytkowników
microsoft.directory/users/create Dodaj użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/convertExternalToInternalMemberUser Konwertowanie użytkownika zewnętrznego na użytkownika wewnętrznego
microsoft.directory/users/delete Usuwanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/disable Wyłączanie użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/enable Włącz użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/inviteGuest Zapraszanie użytkowników-gości
microsoft.directory/users/invalidateAllRefreshTokens Wymuś wylogowanie się, unieważniając tokeny odświeżania użytkownika
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/reprocessLicenseAssignment Ponowne przetwarzanie przypisań licencji dla użytkowników
microsoft.directory/users/restore Przywracanie usuniętych użytkowników
microsoft.directory/users/basic/update Aktualizowanie podstawowych właściwości użytkowników
microsoft.directory/users/manager/update Menedżer aktualizacji dla użytkowników
microsoft.directory/users/password/update Resetowanie haseł dla wszystkich użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.directory/users/photo/update Aktualizowanie zdjęcia użytkowników
microsoft.directory/users/sponsors/update Aktualizowanie sponsorów użytkowników
microsoft.directory/users/usageLocation/update Aktualizowanie lokalizacji użycia użytkowników
microsoft.directory/users/userPrincipalName/update Aktualizowanie głównej nazwy użytkowników
Ikona etykiety uprzywilejowanej.
microsoft.azure.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator wizyt wirtualnych

Użytkownicy z tą rolą mogą wykonywać następujące zadania:

  • Zarządzanie i konfigurowanie wszystkich aspektów wizyt wirtualnych w rezerwacjach w Centrum administracyjne platformy Microsoft 365 i w łączniku EHR usługi Teams
  • Wyświetlanie raportów użycia wizyt wirtualnych w centrum administracyjnym usługi Teams, Centrum administracyjne platformy Microsoft 365, sieci szkieletowej i usługi Power BI
  • Wyświetlanie funkcji i ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można edytować żadnych ustawień

Wirtualne wizyty to prosty sposób planowania spotkań online i wideo dla pracowników i uczestników oraz zarządzania nimi. Na przykład raportowanie użycia może pokazać, jak wysyłanie wiadomości SMS sms przed terminami może zmniejszyć liczbę osób, które nie są wyświetlane w przypadku terminów.

Akcje opis
microsoft.virtualVisits/allEntities/allProperties/allTasks Zarządzanie informacjami i metrykami wizyt wirtualnych z centrów administracyjnych lub aplikacji Wirtualne wizyty
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Viva Goals Administracja istrator

Przypisz rolę Administracja istratora Viva Goals do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie i konfigurowanie wszystkich aspektów aplikacji Microsoft Viva Goals
  • Konfigurowanie ustawień administratora aplikacji Microsoft Viva Goals
  • Przeczytaj informacje o dzierżawie firmy Microsoft Entra
  • Monitorowanie kondycji usługi platformy Microsoft 365
  • Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi

Aby uzyskać więcej informacji, zobacz Role i uprawnienia w aplikacji Viva Goals i Introduction to Microsoft Viva Goals (Role i uprawnienia w usłudze Viva Goals) i Introduction to Microsoft Viva Goals (Wprowadzenie do celów Platformy Microsoft Viva).

Akcje opis
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami celów Platformy Microsoft Viva

Administracja istrator Viva Pulse

Przypisz rolę Administracja istratora Viva Pulse do użytkowników, którzy muszą wykonywać następujące zadania:

  • Odczytywanie i konfigurowanie wszystkich ustawień aplikacji Viva Pulse
  • Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
  • Odczytywanie i konfigurowanie usługi Azure Service Health
  • Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
  • Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
  • Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365

Aby uzyskać więcej informacji, zobacz Przypisywanie administratora Viva Pulse w Centrum administracyjne platformy Microsoft 365.

Akcje opis
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami platformy Microsoft Viva Pulse

Windows 365 Administracja istrator

Użytkownicy z tą rolą mają uprawnienia globalne w zasobach systemu Windows 365, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi.

Ta rola może tworzyć grupy zabezpieczeń i zarządzać nimi, ale nie ma uprawnień administratora do grup platformy Microsoft 365. Oznacza to, że administratorzy nie mogą aktualizować właścicieli ani członkostwa w grupach platformy Microsoft 365 w organizacji. Mogą jednak zarządzać utworzoną przez siebie grupą platformy Microsoft 365, która jest częścią swoich uprawnień użytkownika końcowego. Dlatego każda utworzona grupa platformy Microsoft 365 (a nie grupa zabezpieczeń) jest liowana względem limitu przydziału 250.

Przypisz rolę Administracja istratora systemu Windows 365 do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie Komputer w chmurze Windows 365 w usłudze Microsoft Intune
  • Rejestrowanie urządzeń i zarządzanie nimi w identyfikatorze Entra firmy Microsoft, w tym przypisywanie użytkowników i zasad
  • Tworzenie grup zabezpieczeń i zarządzanie nimi, ale nie grup z możliwością przypisywania ról
  • Wyświetlanie podstawowych właściwości w Centrum administracyjne platformy Microsoft 365
  • Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
  • Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Akcje opis
microsoft.directory/deletedItems.devices/delete Trwałe usuwanie urządzeń, których nie można już przywrócić
microsoft.directory/deletedItems.devices/restore Przywracanie nietrwałych usuniętych urządzeń do stanu pierwotnego
microsoft.directory/devices/create Tworzenie urządzeń (rejestrowanie w usłudze Microsoft Entra ID)
microsoft.directory/devices/delete Usuwanie urządzeń z identyfikatora entra firmy Microsoft
microsoft.directory/devices/disable Wyłączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/devices/enable Włączanie urządzeń w identyfikatorze Entra firmy Microsoft
microsoft.directory/devices/basic/update Aktualizowanie podstawowych właściwości na urządzeniach
microsoft.directory/devices/extensionAttributeSet1/update Aktualizowanie rozszerzeniaAttribute1 do właściwości extensionAttribute5 na urządzeniach
microsoft.directory/devices/extensionAttributeSet2/update Aktualizowanie rozszerzeniaAttribute6 do właściwości extensionAttribute10 na urządzeniach
microsoft.directory/devices/extensionAttributeSet3/update Aktualizowanie rozszerzeniaAttribute11 do właściwości extensionAttribute15 na urządzeniach
microsoft.directory/devices/registeredOwners/update Aktualizowanie zarejestrowanych właścicieli urządzeń
microsoft.directory/devices/registeredUsers/update Aktualizowanie zarejestrowanych użytkowników urządzeń
microsoft.directory/groups.security/create Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/delete Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/basic/update Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/classification/update Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/members/update Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/owner/update Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.security/visibility/update Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/deviceManagementPolicies/standard/read Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi
microsoft.directory/deviceRegistrationPolicy/standard/read Odczytywanie standardowych właściwości zasad rejestracji urządzeń
microsoft.azure.supportTickets/allEntities/allTasks Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
microsoft.cloudPC/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami systemu Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365

Administracja istrator wdrażania usługi Windows Update

Użytkownicy w tej roli mogą tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania Windows Update dla firm. Usługa wdrażania umożliwia użytkownikom definiowanie ustawień dotyczących sposobu wdrażania i sposobu wdrażania aktualizacji oraz określanie, które aktualizacje są oferowane grupom urządzeń w dzierżawie. Umożliwia również użytkownikom monitorowanie postępu aktualizacji.

Akcje opis
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update

Administracja istrator usługi Yammer

Przypisz rolę Administracja istratora usługi Yammer do użytkowników, którzy muszą wykonywać następujące zadania:

  • Zarządzanie wszystkimi aspektami usługi Yammer
  • Tworzenie i przywracanie Grupy Microsoft 365 oraz zarządzanie nimi, ale nie grupy z możliwością przypisywania ról
  • Wyświetlanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
  • Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
  • Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
  • Wyświetlanie anonsów w Centrum wiadomości, ale nie anonsów zabezpieczeń
  • Wyświetlanie kondycji usług

Dowiedz się więcej

Akcje opis
microsoft.directory/groups/hiddenMembers/read Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
microsoft.directory/groups.unified/create Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/delete Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/restore Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/basic/update Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/members/update Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.directory/groups.unified/owners/update Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról
microsoft.office365.messageCenter/messages/read Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
microsoft.office365.network/performance/allProperties/read Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
microsoft.office365.usageReports/allEntities/allProperties/read Odczytywanie raportów użycia usługi Office 365
microsoft.office365.webPortal/allEntities/standard/read Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Zarządzanie wszystkimi aspektami usługi Yammer

Przestarzałe role

Następujące role nie powinny być używane. Zostały one wycofane i zostaną usunięte z identyfikatora Entra firmy Microsoft w przyszłości.

  • Administracja istrator licencji adhoc
  • Dołączanie urządzenia
  • Menedżer urządzeń
  • Użytkownicy urządzeń
  • Autor zweryfikowanego użytkownika pocztą e-mail
  • Administracja istrator skrzynki pocztowej
  • Dołączanie urządzenia w miejscu pracy

Role nie są wyświetlane w portalu

Nie każda rola zwracana przez program PowerShell lub interfejs API programu MS Graph jest widoczna w witrynie Azure Portal. Poniższa tabela organizuje te różnice.

Nazwa interfejsu API Nazwa witryny Azure Portal Uwagi
Dołączanie urządzenia Przestarzałe Dokumentacja przestarzałych ról
Menedżer urządzeń Przestarzałe Dokumentacja przestarzałych ról
Użytkownicy urządzeń Przestarzałe Dokumentacja przestarzałych ról
Konta synchronizacji katalogów Nie pokazano, ponieważ nie należy go używać Dokumentacja kont synchronizacji katalogów
Użytkownik-gość Nie pokazano, ponieważ nie można go użyć NA
Pomoc techniczna dla partnerów w warstwie 1 Nie pokazano, ponieważ nie należy go używać Dokumentacja pomocy technicznej dla partnerów w warstwie 1
Pomoc techniczna dla partnerów w warstwie 2 Nie pokazano, ponieważ nie należy go używać Dokumentacja pomocy technicznej dla partnerów w warstwie 2
Użytkownik-gość z ograniczeniami Nie pokazano, ponieważ nie można go użyć NA
User Nie pokazano, ponieważ nie można go użyć NA
Dołączanie urządzenia w miejscu pracy Przestarzałe Dokumentacja przestarzałych ról

Następne kroki