Inbyggda Microsoft Entra-roller
Om en annan administratör eller icke-administratör behöver hantera Microsoft Entra-resurser i Microsoft Entra-ID tilldelar du dem en Microsoft Entra-roll som ger de behörigheter de behöver. Du kan till exempel tilldela roller för att tillåta att användare läggs till eller ändras, återställa användarlösenord, hantera användarlicenser eller hantera domännamn.
I den här artikeln visas de inbyggda Microsoft Entra-roller som du kan tilldela för att tillåta hantering av Microsoft Entra-resurser. Information om hur du tilldelar roller finns i Tilldela Microsoft Entra-roller till användare. Om du letar efter roller för att hantera Azure-resurser kan du läsa inbyggda Azure-roller.
Alla roller
| Roll | beskrivning | Mall-ID |
|---|---|---|
| Programadministratör | Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Programutvecklare | Kan skapa programregistreringar oberoende av inställningen "Användare kan registrera program". |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Attack Payload Author | Kan skapa angreppsnyttolaster som en administratör kan initiera senare. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administratör för attacksimulering | Kan skapa och hantera alla aspekter av attacksimuleringskampanjer. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Attributtilldelningsadministratör | Tilldela anpassade säkerhetsattributnycklar och -värden till Microsoft Entra-objekt som stöds. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Attributtilldelningsläsare | Läs anpassade nycklar och värden för säkerhetsattribut för Microsoft Entra-objekt som stöds. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Attributdefinitionsadministratör | Definiera och hantera definitionen av anpassade säkerhetsattribut. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Attributdefinitionsläsare | Läs definitionen av anpassade säkerhetsattribut. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Administratör för attributlogg | Läs granskningsloggar och konfigurera diagnostikinställningar för händelser som rör anpassade säkerhetsattribut. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Attributloggläsare | Läs granskningsloggar relaterade till anpassade säkerhetsattribut. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Autentiseringsadministratör | Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla icke-administratörsanvändare. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administratör för autentiseringsprincip | Kan skapa och hantera autentiseringsmetodernas princip, MFA-inställningar för hela klientorganisationen, lösenordsskyddsprincip och verifierbara autentiseringsuppgifter. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Lokal administratör för Azure AD-ansluten enhet | Användare som tilldelats den här rollen läggs till i den lokala administratörsgruppen på Microsoft Entra-anslutna enheter. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps-administratör | Kan hantera Azure DevOps-principer och -inställningar. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-administratör | Kan hantera alla aspekter av Azure Information Protection-produkten. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF-nyckeluppsättningsadministratör | Kan hantera hemligheter för federation och kryptering i IEF (IDENTITY Experience Framework). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF-principadministratör | Kan skapa och hantera principer för förtroenderamverk i IEF (Identity Experience Framework). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Faktureringsadministratör | Kan utföra vanliga faktureringsrelaterade uppgifter som uppdatering av betalningsinformation. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security-administratör | Kan hantera alla aspekter av produkten Defender för molnet Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Molnprogramadministratör | Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar förutom App Proxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Molnenhetsadministratör | Begränsad åtkomst till att hantera enheter i Microsoft Entra-ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Efterlevnadsadministratör | Kan läsa och hantera efterlevnadskonfiguration och rapporter i Microsoft Entra ID och Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Administratör för efterlevnadsdata | Skapar och hanterar efterlevnadsinnehåll. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administratör för villkorsstyrd åtkomst | Kan hantera funktioner för villkorsstyrd åtkomst. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Customer LockBox Access-godkännare | Kan godkänna Microsofts supportförfrågningar för att få åtkomst till kundens organisationsdata. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Administratör för Skrivbordsanalys | Har åtkomst till och kan hantera skrivbordshanteringsverktyg och tjänster. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Katalogläsare | Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Katalogsynkroniseringskonton | Används endast av Microsoft Entra Anslut-tjänsten. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Katalogförfattare | Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Domännamnsadministratör | Kan hantera domännamn i molnet och lokalt. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-administratör | Kan hantera alla aspekter av Dynamics 365-produkten. | 44367163-eba1-44c3-98af-f5787879f96a |
| Edge-administratör | Hantera alla aspekter av Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange-administratör | Kan hantera alla aspekter av Exchange-produkten. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange-mottagaradministratör | Kan skapa eller uppdatera Exchange Online-mottagare i Exchange Online-organisationen. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administratör för externt ID-användarflöde | Kan skapa och hantera alla aspekter av användarflöden. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administratör för användarflödesattribut för externt ID | Kan skapa och hantera attributschemat som är tillgängligt för alla användarflöden. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Administratör för extern identitetsprovider | Kan konfigurera identitetsprovidrar för användning i direkt federation. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Infrastrukturadministratör | Kan hantera alla aspekter av Fabric- och Power BI-produkterna. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Global administratör för | Kan hantera alla aspekter av Microsoft Entra-ID och Microsoft-tjänster som använder Microsoft Entra-identiteter. |
62e90394-69f5-4237-9190-012177145e10 |
| Global läsare | Kan läsa allt som en global administratör kan, men inte uppdatera något. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Global administratör för säker åtkomst | Skapa och hantera alla aspekter av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst, inklusive hantering av åtkomst till offentliga och privata slutpunkter. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Gruppadministratör | Medlemmar i den här rollen kan skapa/hantera grupper, skapa/hantera gruppinställningar som namngivnings- och förfalloprinciper samt visa gruppers aktivitet och granskningsrapporter. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Gäst inbjudare | Kan bjuda in gästanvändare oberoende av inställningen för om medlemmar kan bjuda in gäster. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Supportadministratör | Kan återställa lösenord för icke-administratörer och Helpdeks-administratörer. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybrididentitetsadministratör | Kan hantera Active Directory till Microsoft Entra-molnetablering, Microsoft Entra Anslut, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel inloggning (sömlös enkel inloggning) och federationsinställningar. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Administratör för identitetsstyrning | Hantera åtkomst med hjälp av Microsoft Entra-ID för scenarier för identitetsstyrning. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights-administratör | Har administrativ åtkomst i Microsoft 365 Insights-appen. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights-analytiker | Få åtkomst till analysfunktionerna i Microsoft Viva Insights och kör anpassade frågor. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Kan visa och dela instrumentpaneler och insikter via Microsoft 365 Insights-appen. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune-administratör | Kan hantera alla aspekter av Intune-produkten. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala-administratör | Kan hantera inställningar för Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Kunskapsadministratör | Kan konfigurera kunskap, inlärning och andra intelligenta funktioner. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Knowledge Manager | Kan organisera, skapa, hantera och främja ämnen och kunskap. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Licensadministratör | Kan hantera produktlicenser för användare och grupper. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Administratör för livscykelarbetsflöden | Skapa och hantera alla aspekter av arbetsflöden och uppgifter som är associerade med livscykelarbetsflöden i Microsoft Entra-ID. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Sekretessläsare för Meddelandecenter | Kan endast läsa säkerhetsmeddelanden och uppdateringar i Office 365 Meddelandecenter. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Meddelandecenterläsare | Kan endast läsa meddelanden och uppdateringar för organisationen i Office 365 Meddelandecenter. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsofts administratör för maskinvarugaranti | Skapa och hantera alla aspekter av garantianspråk och rättigheter för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft Hardware Warranty Specialist | Skapa och läsa garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Modern commerce-användare | Kan hantera kommersiella inköp för ett företag, en avdelning eller ett team. | d24aef57-1500-4070-84db-2666f29cf966 |
| Nätverksadministratör | Kan hantera nätverksplatser och granska designinsikter för företagsnätverk för Microsoft 365 Software as a Service-program. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Administratör för Office-appar | Kan hantera Office-appen molntjänster, inklusive princip- och inställningshantering, och hantera möjligheten att välja, avmarkera och publicera "nyheter"-funktionsinnehåll på slutanvändarens enheter. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Författare av organisationsmeddelanden | Skriva, publicera, hantera och granska organisationens meddelanden för slutanvändare via Microsofts produktytor. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Stöd för partnernivå 1 | Använd inte – inte avsedd för allmän användning. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Support för partnernivå 2 | Använd inte – inte avsedd för allmän användning. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Lösenordsadministratör | Kan återställa lösenord för icke-administratörer och lösenordsadministratörer. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Administratör för behörighetshantering | Hantera alla aspekter av Microsoft Entra – behörighetshantering. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform-administratör | Kan skapa och hantera alla aspekter av Microsoft Dynamics 365, Power Apps och Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Skrivaradministratör | Kan hantera alla aspekter av skrivare och skrivaranslutningar. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Skrivartekniker | Kan registrera och avregistrera skrivare och uppdatera skrivarstatus. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Administratör för privilegierad autentisering | Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administratör för privilegierad roll | Kan hantera rolltilldelningar i Microsoft Entra-ID och alla aspekter av Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Rapportläsare | Kan läsa inloggnings- och granskningsrapporter. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Sökadministratör | Kan skapa och hantera alla aspekter av Microsoft Search-inställningar. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Sökredigeraren | Kan skapa och hantera det redaktionella innehållet, till exempel bokmärken, Q och As, platser, planritning. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Säkerhetsadministratör | Kan läsa säkerhetsinformation och rapporter och hantera konfiguration i Microsoft Entra-ID och Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Säkerhetsoperator | Skapar och hanterar säkerhetshändelser. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Säkerhetsläsare | Kan läsa säkerhetsinformation och rapporter i Microsoft Entra ID och Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Tjänstsupportadministratör | Kan läsa information om tjänstens hälsa och hantera supportärenden. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint-administratör | Kan hantera alla aspekter av SharePoint-tjänsten. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype för företag administratör | Kan hantera alla aspekter av Skype för företag produkt. | 75941009-915a-4869-abe7-691bff18279e |
| Teams-administratör | Kan hantera Microsoft Teams-tjänsten. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams kommunikationsadministratör | Kan hantera samtals- och mötesfunktioner i Microsoft Teams-tjänsten. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Supporttekniker för Teams-kommunikation | Kan felsöka kommunikationsproblem i Teams med hjälp av avancerade verktyg. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Supportspecialist för Teams-kommunikation | Kan felsöka kommunikationsproblem i Teams med hjälp av grundläggande verktyg. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Administratör för Teams-enheter | Kan utföra hanteringsrelaterade uppgifter på Teams-certifierade enheter. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Skapare av klientorganisation | Skapa nya Microsoft Entra- eller Azure AD B2C-klienter. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Läsare av användningssammanfattningsrapporter | Läs användningsrapporter och implementeringspoäng, men kan inte komma åt användarinformation. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Användaradministratör | Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administratör för virtuella besök | Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva-måladministratör | Hantera och konfigurera alla aspekter av Microsoft Viva-mål. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse-administratör | Kan hantera alla inställningar för Microsoft Viva Pulse-appen. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365-administratör | Kan etablera och hantera alla aspekter av molndatorer. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Distributionsadministratör för Windows Update | Kan skapa och hantera alla aspekter av Windows Update-distributioner via distributionstjänsten Windows Update för företag. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer-administratör | Hantera alla aspekter av Yammer-tjänsten. | 810a2642-a034-447f-a5e8-41beaa378541 |
Appadministratör
Det här är en privilegierad roll. Användare i den här rollen kan skapa och hantera alla aspekter av företagsprogram, programregistreringar och programproxyinställningar. Observera att användare som tilldelats den här rollen inte läggs till som ägare när nya programregistreringar eller företagsprogram skapas.
Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Microsoft Graph.
Viktigt!
Det här undantaget innebär att du fortfarande kan samtycka till programbehörigheter för andra appar (till exempel appar eller appar från andra appar än Microsoft som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (dvs. samtycker till) dessa behörigheter krävs en mer privilegierad administratör, till exempel global administratör.
Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en utökade privilegier jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID |
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/applicationProxy/read | Läs alla egenskaper för programproxy |
| microsoft.directory/applications/applicationProxy/update | Uppdatera alla egenskaper för programproxy |
| microsoft.directory/applications/applicationProxyAuthentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/applicationProxySslCertificate/update | Uppdatera SSL-certifikatinställningar för programproxy |
| microsoft.directory/applications/applicationProxyUrl Inställningar/update | Uppdatera URL-inställningar för programproxy |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/applications/verification/update | Uppdatera egenskapen applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/connectors/create | Skapa anslutningsappar för programproxy |
| microsoft.directory/connectors/allProperties/read | Läs alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/connectorGroups/create | Skapa anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/delete | Ta bort anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/allProperties/read | Läs alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/connectorGroups/allProperties/update | Uppdatera alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Skapa och hantera anpassade autentiseringstillägg |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/applicationPolicies/create | Skapa programprinciper |
| microsoft.directory/applicationPolicies/delete | Ta bort programprinciper |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/read | Läs ägare om programprinciper |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Läsa programprinciper som tillämpas på objektlistan |
| microsoft.directory/applicationPolicies/basic/update | Uppdatera standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/update | Uppdatera ägaregenskapen för programprinciper |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och schema för programetablering |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller användare, förutom programbehörigheter för Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar om tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Programutvecklare
Det här är en privilegierad roll. Användare i den här rollen kan skapa programregistreringar när inställningen "Användare kan registrera program" är inställd på Nej. Den här rollen ger också behörighet att godkänna för ens egen räkning när inställningen "Användare kan samtycka till att appar får åtkomst till företagsdata för deras räkning" har angetts till Nej. Användare som tilldelats den här rollen läggs till som ägare när nya programregistreringar skapas.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/createAsOwner | Skapa alla typer av program och skaparen läggs till som första ägare |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Skapa OAuth 2.0-behörighetsbidrag med skaparen som första ägare |
| microsoft.directory/servicePrincipals/createAsOwner | Skapa tjänstens huvudnamn med skaparen som första ägare |
Attack Payload Author
Användare i den här rollen kan skapa attacknyttolaster men inte starta eller schemalägga dem. Attacknyttolaster är sedan tillgängliga för alla administratörer i klientorganisationen som kan använda dem för att skapa en simulering.
Mer information finns i Microsoft Defender för Office 365-behörigheter i Microsoft 365 Defender-portalen och Behörigheter i efterlevnadsportal i Microsoft Purview.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om attacksimulering, svar och tillhörande utbildning |
Administratör för attacksimulering
Användare i den här rollen kan skapa och hantera alla aspekter av skapande av attacksimulering, start/schemaläggning av en simulering och granskning av simuleringsresultat. Medlemmar i den här rollen har den här åtkomsten för alla simuleringar i klientorganisationen.
Mer information finns i Microsoft Defender för Office 365-behörigheter i Microsoft 365 Defender-portalen och Behörigheter i efterlevnadsportal i Microsoft Purview.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om attacksimulering, svar och tillhörande utbildning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Skapa och hantera mallar för attacksimulering i Attack Simulator |
Attributtilldelningsadministratör
Användare med den här rollen kan tilldela och ta bort nycklar och värden för anpassade säkerhetsattribut för Microsoft Entra-objekt som stöds, till exempel användare, tjänstens huvudnamn och enheter.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läsa alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läs alla egenskaper för definitioner av anpassade säkerhetsattribut |
| microsoft.directory/devices/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för enheter |
| microsoft.directory/devices/customSecurityAttributes/update | Uppdatera anpassade säkerhetsattributvärden för enheter |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Uppdatera anpassade säkerhetsattributvärden för tjänstens huvudnamn |
| microsoft.directory/users/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för användare |
| microsoft.directory/users/customSecurityAttributes/update | Uppdatera anpassade säkerhetsattributvärden för användare |
Attributtilldelningsläsare
Användare med den här rollen kan läsa anpassade nycklar och värden för säkerhetsattribut för Microsoft Entra-objekt som stöds.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läsa alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läs alla egenskaper för definitioner av anpassade säkerhetsattribut |
| microsoft.directory/devices/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för enheter |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för tjänstens huvudnamn |
| microsoft.directory/users/customSecurityAttributes/read | Läsa anpassade säkerhetsattributvärden för användare |
Attributdefinitionsadministratör
Användare med den här rollen kan definiera en giltig uppsättning anpassade säkerhetsattribut som kan tilldelas till Microsoft Entra-objekt som stöds. Den här rollen kan också aktivera och inaktivera anpassade säkerhetsattribut.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Hantera alla aspekter av attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Hantera alla aspekter av anpassade definitioner av säkerhetsattribut |
Attributdefinitionsläsare
Användare med den här rollen kan läsa definitionen av anpassade säkerhetsattribut.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om du vill arbeta med anpassade säkerhetsattribut måste du tilldelas någon av rollerna för anpassade säkerhetsattribut.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Läsa alla egenskaper för attributuppsättningar |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Läs alla egenskaper för definitioner av anpassade säkerhetsattribut |
Administratör för attributlogg
Tilldela rollen Attributloggläsare till användare som behöver utföra följande uppgifter:
- Läsa granskningsloggar för värdeändringar för anpassade säkerhetsattribut
- Läsa granskningsloggar för definitionsändringar och tilldelningar för anpassade säkerhetsattribut
- Konfigurera diagnostikinställningar för anpassade säkerhetsattribut
Användare med den här rollen kan inte läsa granskningsloggar för andra händelser.
Som standard har global administratör och andra administratörsroller inte behörighet att läsa granskningsloggar för anpassade säkerhetsattribut. Om du vill läsa granskningsloggar för anpassade säkerhetsattribut måste du tilldelas den här rollen eller rollen Attributloggläsare.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Läsa granskningsloggar relaterade till anpassade säkerhetsattribut |
| microsoft.azure.customSecurityAttributeDiagnostic Inställningar/allEntities/allProperties/allTasks | Konfigurera alla aspekter av diagnostikinställningar för anpassade säkerhetsattribut |
Attributloggläsare
Tilldela rollen Attributloggläsare till användare som behöver utföra följande uppgifter:
- Läsa granskningsloggar för värdeändringar för anpassade säkerhetsattribut
- Läsa granskningsloggar för definitionsändringar och tilldelningar för anpassade säkerhetsattribut
Användare med den här rollen kan inte utföra följande uppgifter:
- Konfigurera diagnostikinställningar för anpassade säkerhetsattribut
- Läsa granskningsloggar för andra händelser
Som standard har global administratör och andra administratörsroller inte behörighet att läsa granskningsloggar för anpassade säkerhetsattribut. Om du vill läsa granskningsloggar för anpassade säkerhetsattribut måste du tilldelas den här rollen eller rollen Administratör för attributlogg.
Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Läsa granskningsloggar relaterade till anpassade säkerhetsattribut |
Autentiseringsadministratör
Det här är en privilegierad roll. Tilldela rollen Autentiseringsadministratör till användare som behöver göra följande:
- Ange eller återställ valfri autentiseringsmetod (inklusive lösenord) för icke-administratörer och vissa roller. En lista över de roller som en autentiseringsadministratör kan läsa eller uppdatera autentiseringsmetoder finns i Vem kan återställa lösenord.
- Kräv att användare som inte är administratörer eller tilldelade till vissa roller ska registrera sig mot befintliga autentiseringsuppgifter som inte är lösenord (till exempel MFA eller FIDO) och kan även återkalla MFA på enheten, vilket uppmanar till MFA vid nästa inloggning.
- Utför känsliga åtgärder för vissa användare. Mer information finns i Vem kan utföra känsliga åtgärder.
- Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365.
Användare med den här rollen kan inte göra följande:
- Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
- Det går inte att hantera MFA-inställningar i den äldre MFA-hanteringsportalen eller OATH-maskinvarutoken. Samma funktioner kan utföras med hjälp av Set-MsolUser-kommandoleten Azure AD PowerShell-modulen.
I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera policyn för autentiseringsmetod | Hantera policyn för lösenordsskydd | Uppdatera känsliga egenskaper | Ta bort och återställa användare |
|---|---|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare | Ja för vissa användare | Inga | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Inga | Nej | Inga | Ja för alla användare | Ja för alla användare |
| Administratör för autentiseringsprincip | Inga | Nej | Ja | Ja | Ja | Nej | Inga |
| Användaradministratör | Inga | Nej | Nej | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
Viktigt!
Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Microsoft Entra-ID. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
- Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
- Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Uppdatera autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/deletedItems.users/restore | Återställa mjukt borttagna användare till ursprungligt tillstånd |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör av autentiseringsprincip
Tilldela rollen Administratör för autentiseringsprincip till användare som behöver göra följande:
- Konfigurera principen för autentiseringsmetoder, klientomfattande MFA-inställningar och lösenordsskyddsprincip som avgör vilka metoder varje användare kan registrera och använda.
- Hantera inställningar för lösenordsskydd: konfigurationer för smart utelåsning och uppdatering av listan över anpassade förbjudna lösenord.
- Skapa och hantera verifierbara autentiseringsuppgifter.
- Skapa och hantera Azure-supportärenden.
Användare med den här rollen kan inte göra följande:
- Det går inte att uppdatera känsliga egenskaper. Mer information finns i Vem kan utföra känsliga åtgärder.
- Det går inte att ta bort eller återställa användare. Mer information finns i Vem kan utföra känsliga åtgärder.
- Det går inte att hantera MFA-inställningar i den äldre MFA-hanteringsportalen eller OATH-maskinvarutoken.
I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera policyn för autentiseringsmetod | Hantera policyn för lösenordsskydd | Uppdatera känsliga egenskaper | Ta bort och återställa användare |
|---|---|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare | Ja för vissa användare | Inga | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Inga | Nej | Inga | Ja för alla användare | Ja för alla användare |
| Administratör för autentiseringsprincip | Inga | Nej | Ja | Ja | Ja | Nej | Inga |
| Användaradministratör | Inga | Nej | Nej | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Hantera alla aspekter av starka autentiseringsegenskaper i en organisation |
| microsoft.directory/userCredentialPolicies/create | Skapa principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/delete | Ta bort principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/standard/read | Läsa standardegenskaper för autentiseringsprinciper för användare |
| microsoft.directory/userCredentialPolicies/owners/read | Läs ägare av principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Läs policy.appliesTo navigeringslänk |
| microsoft.directory/userCredentialPolicies/basic/update | Uppdatera grundläggande principer för användare |
| microsoft.directory/userCredentialPolicies/owners/update | Uppdatera ägare av principer för autentiseringsuppgifter för användare |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Uppdatera egenskapen policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läsa ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Återkalla ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Skapa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Uppdatera ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/create | Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/delete | Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Uppdateringskonfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
Lokal administratör för Azure AD-ansluten enhet
Den här rollen är endast tillgänglig för tilldelning som ytterligare en lokal administratör i Enhetsinställningar. Användare med den här rollen blir lokala datoradministratörer på alla Windows 10-enheter som är anslutna till Microsoft Entra-ID. De har inte möjlighet att hantera enhetsobjekt i Microsoft Entra-ID.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/group Inställningar/standard/read | Läsa grundläggande egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/standard/read | Läsa grundläggande egenskaper för gruppinställningsmallar |
Azure DevOps-administratör
Användare med den här rollen kan hantera alla Azure DevOps-principer för företag, som gäller för alla Azure DevOps-organisationer som backas upp av Microsoft Entra-ID. Användare i den här rollen kan hantera dessa principer genom att gå till valfri Azure DevOps-organisation som backas upp av företagets Microsoft Entra-ID. Dessutom kan användare i den här rollen göra anspråk på ägarskap för överblivna Azure DevOps-organisationer. Den här rollen ger inga andra Azure DevOps-specifika behörigheter (till exempel Projektsamlingsadministratörer) i någon av De Azure DevOps-organisationer som backas upp av företagets Microsoft Entra-organisation.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Läsa och konfigurera Azure DevOps |
Azure Information Protection-administratör
Användare med den här rollen har alla behörigheter i Azure Information Protection-tjänsten. Med den här rollen kan du konfigurera etiketter för Azure Information Protection-principen, hantera skyddsmallar och aktivera skydd. Den här rollen beviljar inga behörigheter i Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-portalen eller efterlevnadsportal i Microsoft Purview.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
B2C IEF Keyset Administrator
Det här är en privilegierad roll. Användaren kan skapa och hantera principnycklar och hemligheter för tokenkryptering, tokensignaturer och anspråkskryptering. Genom att lägga till nya nycklar i befintliga nyckelcontainrar kan den här begränsade administratören återställa hemligheter efter behov utan att påverka befintliga program. Den här användaren kan se det fullständiga innehållet i dessa hemligheter och deras förfallodatum även när de har skapats.
Viktigt!
Det här är en känslig roll. Nyckeluppsättningens administratörsroll bör granskas noggrant och tilldelas med försiktighet under förproduktion och produktion.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Läsa och konfigurera nyckeluppsättningar i Azure Active Directory B2C |
B2C IEF Policy Administrator
Användare i den här rollen kan skapa, läsa, uppdatera och ta bort alla anpassade principer i Azure AD B2C och har därför fullständig kontroll över Identity Experience Framework i relevant Azure AD B2C-organisation. Genom att redigera principer kan den här användaren upprätta direkt federation med externa identitetsprovidrar, ändra katalogschemat, ändra allt användarbaserat innehåll (HTML, CSS, JavaScript), ändra kraven för att slutföra en autentisering, skapa nya användare, skicka användardata till externa system, inklusive fullständiga migreringar och redigera all användarinformation, inklusive känsliga fält som lösenord och telefonnummer. Den här rollen kan däremot inte ändra krypteringsnycklarna eller redigera hemligheterna som används för federation i organisationen.
Viktigt!
B2 IEF-principadministratören är en mycket känslig roll som bör tilldelas på mycket begränsad basis för organisationer i produktion. Aktiviteter av dessa användare bör granskas noggrant, särskilt för organisationer i produktion.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Läsa och konfigurera anpassade principer i Azure Active Directory B2C |
Faktureringsadministratör
Gör inköp, hanterar prenumerationer, hanterar supportärenden och övervakar tjänstens hälsa.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/organization/basic/update | Uppdatera grundläggande egenskaper i organisationen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Hantera alla aspekter av Office 365-fakturering |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Cloud App Security-administratör
Användare med den här rollen har fullständiga behörigheter i Defender för molnet Apps. De kan lägga till administratörer, lägga till principer och inställningar för Microsoft Defender för molnet Appar, ladda upp loggar och utföra styrningsåtgärder.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Molnappadministratör
Det här är en privilegierad roll. Användare i den här rollen har samma behörigheter som programadministratörsrollen, exklusive möjligheten att hantera programproxy. Den här rollen ger möjlighet att skapa och hantera alla aspekter av företagsprogram och programregistreringar. Användare som har tilldelats den här rollen läggs inte till som ägare när nya programregistreringar eller företagsprogram skapas.
Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Microsoft Graph.
Viktigt!
Det här undantaget innebär att du fortfarande kan samtycka till programbehörigheter för andra appar (till exempel appar eller appar från andra appar än Microsoft som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (dvs. samtycker till) dessa behörigheter krävs en mer privilegierad administratör, till exempel global administratör.
Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en utökade privilegier jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID |
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/applications/verification/update | Uppdatera egenskapen applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/applicationPolicies/create | Skapa programprinciper |
| microsoft.directory/applicationPolicies/delete | Ta bort programprinciper |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/read | Läs ägare om programprinciper |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Läsa programprinciper som tillämpas på objektlistan |
| microsoft.directory/applicationPolicies/basic/update | Uppdatera standardegenskaper för programprinciper |
| microsoft.directory/applicationPolicies/owners/update | Uppdatera ägaregenskapen för programprinciper |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och schema för programetablering |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller användare, förutom programbehörigheter för Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar om tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Molnenhetsadministratör
Det här är en privilegierad roll. Användare i den här rollen kan aktivera, inaktivera och ta bort enheter i Microsoft Entra-ID och läsa Windows 10 BitLocker-nycklar (om de finns) i Azure-portalen. Rollen beviljar inte behörighet att hantera andra egenskaper på enheten.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/deletedItems.devices/delete | Ta bort enheter permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.devices/restore | Återställa mjuka borttagna enheter till ursprungligt tillstånd |
| microsoft.directory/devices/delete | Ta bort enheter från Microsoft Entra-ID |
| microsoft.directory/devices/disable | Inaktivera enheter i Microsoft Entra-ID |
| microsoft.directory/devices/enable | Aktivera enheter i Microsoft Entra-ID |
| microsoft.directory/deviceLocalCredentials/password/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceManagementPolicies/basic/update | Uppdatera grundläggande egenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
Efterlevnadsadministratör
Användare med den här rollen har behörighet att hantera efterlevnadsrelaterade funktioner i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365, Azure och Microsoft 365 Defender-portalen. Tilldelare kan också hantera alla funktioner i administrationscentret för Exchange och skapa supportärenden för Azure och Microsoft 365. Mer information finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.
| Om | Kan göra |
|---|---|
| Efterlevnadsportal i Microsoft Purview | Skydda och hantera organisationens data i Microsoft 365-tjänster Hantera efterlevnadsaviseringar |
| Microsoft Purview Compliance Manager | Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter |
| Microsoft 365 Defender-portalen | Hantera datastyrning Utföra juridiska undersökningar och datautredningar Hantera begäran från datasubjekt Den här rollen har samma behörigheter som rollgruppen Efterlevnadsadministratör i rollbaserad åtkomstkontroll i Microsoft 365 Defender-portalen. |
| Intune | Visa alla Intune-granskningsdata |
| Microsoft Defender för molnet-appar | Har skrivskyddade behörigheter och kan hantera aviseringar Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder Kan visa alla inbyggda rapporter under Datahantering |
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för efterlevnadsdata
Användare med den här rollen har behörighet att spåra data i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365 och Azure. Användare kan också spåra efterlevnadsdata i administrationscentret för Exchange, Efterlevnadshanteraren och Teams & Skype för företag administrationscenter och skapa supportärenden för Azure och Microsoft 365. Mer information om skillnaderna mellan efterlevnadsadministratör och efterlevnadsdataadministratör finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.
| Om | Kan göra |
|---|---|
| Efterlevnadsportal i Microsoft Purview | Övervaka efterlevnadsrelaterade principer i Microsoft 365-tjänster Hantera efterlevnadsaviseringar |
| Microsoft Purview Compliance Manager | Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter |
| Microsoft 365 Defender-portalen | Hantera datastyrning Utföra juridiska undersökningar och datautredningar Hantera begäran från datasubjekt Den här rollen har samma behörigheter som rollgruppen Administratör för efterlevnadsdata i rollbaserad åtkomstkontroll i Microsoft 365 Defender-portalen. |
| Intune | Visa alla Intune-granskningsdata |
| Microsoft Defender för molnet-appar | Har skrivskyddade behörigheter och kan hantera aviseringar Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder Kan visa alla inbyggda rapporter under Datahantering |
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för villkorsstyrd åtkomst
Det här är en privilegierad roll. Användare med den här rollen har möjlighet att hantera inställningar för villkorsstyrd åtkomst i Microsoft Entra.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/namedLocations/create | Skapa anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/delete | Ta bort anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/basic/update | Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läs villkorsstyrd åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägarna till principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/owners/update | Uppdatera ägare för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Uppdatera standardklientorganisationen för principer för villkorsstyrd åtkomst |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) |
Customer LockBox Access-godkännare
Hanterar Microsoft Purview-kundlåsbox-begäranden i din organisation. De får e-postaviseringar för Kundlåsbox-begäranden och kan godkänna och neka begäranden från Administrationscenter för Microsoft 365. De kan också aktivera eller inaktivera funktionen Customer Lockbox. Endast globala administratörer kan återställa lösenorden för personer som har tilldelats den här rollen.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Hantera alla aspekter av Customer Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för Skrivbordsanalys
Användare i den här rollen kan hantera Desktop Analytics-tjänsten. Detta inkluderar möjligheten att visa tillgångsinventering, skapa distributionsplaner och visa distributions- och hälsostatus.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Hantera alla aspekter av Desktop Analytics |
Katalogläsare
Användare i den här rollen kan läsa grundläggande kataloginformation. Den här rollen bör användas för:
- Bevilja en specifik uppsättning gästanvändare läsbehörighet i stället för att bevilja den till alla gästanvändare.
- Bevilja en specifik uppsättning användare som inte är administratörer åtkomst till Azure-portalen när "Begränsa åtkomsten till Azure-portalen endast till administratörer" är inställt på "Ja".
- Bevilja tjänstens huvudnamn åtkomst till katalogen där Directory.Read.All inte är ett alternativ.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Läsa grundläggande egenskaper för administrativa enheter |
| microsoft.directory/administrativeUnits/members/read | Läs medlemmar i administrativa enheter |
| microsoft.directory/applications/standard/read | Läsa standardegenskaper för program |
| microsoft.directory/applications/owners/read | Läs ägare av program |
| microsoft.directory/applications/policies/read | Läsa programprinciper |
| microsoft.directory/contacts/standard/read | Läsa grundläggande egenskaper för kontakter i Microsoft Entra-ID |
| microsoft.directory/contacts/memberOf/read | Läs gruppmedlemskapet för alla kontakter i Microsoft Entra-ID |
| microsoft.directory/contracts/standard/read | Läsa grundläggande egenskaper för partnerkontrakt |
| microsoft.directory/devices/standard/read | Läsa grundläggande egenskaper på enheter |
| microsoft.directory/devices/memberOf/read | Läsa enhetsmedlemskap |
| microsoft.directory/devices/registeredOwners/read | Läsa registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/read | Läsa registrerade användare av enheter |
| microsoft.directory/directoryRoles/standard/read | Läsa grundläggande egenskaper för Microsoft Entra-roller |
| microsoft.directory/directoryRoles/eligibleMembers/read | Läs de berättigade medlemmarna i Microsoft Entra-roller |
| microsoft.directory/directoryRoles/members/read | Läs alla medlemmar i Microsoft Entra-roller |
| microsoft.directory/domains/standard/read | Läsa grundläggande egenskaper för domäner |
| microsoft.directory/groups/standard/read | Läs standardegenskaper för säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/appRoleAssignments/read | Läsa programrolltilldelningar för grupper |
| microsoft.directory/groups/memberOf/read | Läs egenskapen memberOf i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/read | Läs medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/read | Läs ägare av säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/read | Läs inställningar för grupper |
| microsoft.directory/group Inställningar/standard/read | Läsa grundläggande egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/standard/read | Läsa grundläggande egenskaper för gruppinställningsmallar |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Läsa grundläggande egenskaper för OAuth 2.0-behörighetsbidrag |
| microsoft.directory/organization/standard/read | Läsa grundläggande egenskaper i en organisation |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Läsa betrodda certifikatutfärdare för lösenordslös autentisering |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/roleAssignments/standard/read | Läsa grundläggande egenskaper för rolltilldelningar |
| microsoft.directory/roleDefinitions/standard/read | Läsa grundläggande egenskaper för rolldefinitioner |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Läsa rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Läsa rolltilldelningar som tilldelats tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/standard/read | Läsa grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/memberOf/read | Läs gruppmedlemskapen i tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/read | Läs ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/ownedObjects/read | Läsa ägda objekt för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/read | Läsa principer för tjänstens huvudnamn |
| microsoft.directory/subscribedSkus/standard/read | Läsa grundläggande egenskaper för prenumerationer |
| microsoft.directory/users/standard/read | Läsa grundläggande egenskaper för användare |
| microsoft.directory/users/appRoleAssignments/read | Läsa programrolltilldelningar för användare |
| microsoft.directory/users/deviceForResourceAccount/read | Läsa deviceForResourceAccount för användare |
| microsoft.directory/users/directReports/read | Läs direktrapporterna för användare |
| microsoft.directory/users/licenseDetails/read | Läs licensinformation för användare |
| microsoft.directory/users/manager/read | Läs chef för användare |
| microsoft.directory/users/memberOf/read | Läs gruppmedlemskap för användare |
| microsoft.directory/users/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för användare |
| microsoft.directory/users/ownedDevices/read | Läsa användares ägda enheter |
| microsoft.directory/users/ownedObjects/read | Läsägda objekt för användare |
| microsoft.directory/users/photo/read | Läs foto av användare |
| microsoft.directory/users/registeredDevices/read | Läsa registrerade enheter för användare |
| microsoft.directory/users/scopedRoleMemberOf/read | Läs användarens medlemskap i en Microsoft Entra-roll, som är begränsad till en administrativ enhet |
| microsoft.directory/users/sponsors/read | Läsa sponsorer av användare |
Katalogsynkroniseringskonton
Det här är en privilegierad roll. Använd inte. Den här rollen tilldelas automatiskt till Microsoft Entra Anslut-tjänsten och är inte avsedd eller stöds inte för någon annan användning.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera hybridautentiseringsprincip i Microsoft Entra-ID |
| microsoft.directory/organization/dirSync/update | Uppdatera egenskapen för katalogsynkronisering för organisationen |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Microsoft Entra-ID |
| microsoft.directory/policies/create | Skapa principer i Microsoft Entra-ID |
| microsoft.directory/policies/delete | Ta bort principer i Microsoft Entra-ID |
| microsoft.directory/policies/standard/read | Läsa grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/read | Läs ägare av principer |
| microsoft.directory/policies/policyAppliedTo/read | Egenskapen Read policies.policyAppliedTo |
| microsoft.directory/policies/basic/update | Uppdatera grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/update | Uppdatera ägare av principer |
| microsoft.directory/policies/tenantDefault/update | Uppdatera standardprinciper för organisationen |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Hantera autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Läsa autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Läsa rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Läsa rolltilldelningar som tilldelats tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/standard/read | Läsa grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/memberOf/read | Läs gruppmedlemskapen i tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/read | Läs ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/ownedObjects/read | Läsa ägda objekt för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/read | Läsa principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/credentials/update | Uppdatera autentiseringsuppgifter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar om tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
Katalogförfattare
Det här är en privilegierad roll. Användare i den här rollen kan läsa och uppdatera grundläggande information om användare, grupper och tjänstens huvudnamn.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Uppdatera tilläggsegenskaper för program |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Microsoft Entra-grupper så att de skrivs tillbaka till lokalt med Microsoft Entra Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/group Inställningar/create | Skapa gruppinställningar |
| microsoft.directory/group Inställningar/delete | Ta bort gruppinställningar |
| microsoft.directory/group Inställningar/basic/update | Uppdatera grundläggande egenskaper för gruppinställningar |
| microsoft.directory/oAuth2PermissionGrants/create | Skapa OAuth 2.0-behörighetsbidrag |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Uppdatera OAuth 2.0-behörighetsbidrag |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och schema för programetablering |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägg till användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/sponsors/update | Uppdatera sponsorer för användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
Domännamnsadministratör
Användare med den här rollen kan hantera (läsa, lägga till, verifiera, uppdatera och ta bort) domännamn. De kan också läsa kataloginformation om användare, grupper och program, eftersom dessa objekt har domänberoenden. För lokala miljöer kan användare med den här rollen konfigurera domännamn för federation så att associerade användare alltid autentiseras lokalt. Dessa användare kan sedan logga in på Microsoft Entra-baserade tjänster med sina lokala lösenord via enkel inloggning. Federationsinställningar måste synkroniseras via Microsoft Entra Anslut, så användarna har också behörighet att hantera Microsoft Entra-Anslut.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Dynamics 365-administratör
Användare med den här rollen har globala behörigheter inom Microsoft Dynamics 365 Online, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Använda tjänstadministratörsroller för att hantera din klientorganisation.
Kommentar
I Microsoft Graph API och Azure AD PowerShell får den här rollen namnet Dynamics 365-tjänstadministratör. I Azure-portalen heter den Dynamics 365-administratör.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Edge-administratör
Användare i den här rollen kan skapa och hantera företagswebbplatslistan som krävs för Internet Explorer-läge på Microsoft Edge. Den här rollen ger behörighet att skapa, redigera och publicera webbplatslistan och dessutom ge åtkomst till att hantera supportärenden. Läs mer
| Åtgärder | beskrivning |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Exchange-administratör
Användare med den här rollen har globala behörigheter i Microsoft Exchange Online när tjänsten finns. Har också möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.
Kommentar
I Microsoft Graph API och Azure AD PowerShell får den här rollen namnet Exchange Service Administrator. I Azure-portalen heter den Exchange-administratör. I administrationscentret för Exchange heter det Exchange Online-administratör.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.exchange/allEntities/basic/allTasks | Hantera alla aspekter av Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Exchange-mottagaradministratör
Användare med den här rollen har läsåtkomst till mottagare och skrivåtkomst till attributen för dessa mottagare i Exchange Online. Mer information finns i Mottagare i Exchange Server.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Skapa och ta bort alla mottagare och läs och uppdatera alla egenskaper för mottagare i Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Hantera alla uppgifter som rör migrering av mottagare i Exchange Online |
Administratör för externt ID-användarflöde
Användare med den här rollen kan skapa och hantera användarflöden (kallas även "inbyggda" principer) i Azure-portalen. Dessa användare kan anpassa HTML/CSS/JavaScript-innehåll, ändra MFA-krav, välja anspråk i token, hantera API-anslutningsappar och deras autentiseringsuppgifter och konfigurera sessionsinställningar för alla användarflöden i Microsoft Entra-organisationen. Å andra sidan innehåller den här rollen inte möjligheten att granska användardata eller göra ändringar i de attribut som ingår i organisationsschemat. Ändringar av Identity Experience Framework-principer (även kallade anpassade principer) ligger också utanför omfånget för den här rollen.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Läsa och konfigurera användarflöde i Azure Active Directory B2C |
Administratör för användarflödesattribut för externt ID
Användare med den här rollen lägger till eller tar bort anpassade attribut som är tillgängliga för alla användarflöden i Microsoft Entra-organisationen. Därför kan användare med den här rollen ändra eller lägga till nya element i slutanvändarschemat och påverka beteendet för alla användarflöden och indirekt resultera i ändringar i vilka data som kan efterfrågas av slutanvändare och slutligen skickas som anspråk till program. Den här rollen kan inte redigera användarflöden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Läsa och konfigurera användarattribut i Azure Active Directory B2C |
Administratör för extern identitetsprovider
Den här administratören hanterar federation mellan Microsoft Entra-organisationer och externa identitetsprovidrar. Med den här rollen kan användare lägga till nya identitetsprovidrar och konfigurera alla tillgängliga inställningar (t.ex. autentiseringssökväg, tjänst-ID, tilldelade nyckelcontainrar). Den här användaren kan göra det möjligt för Microsoft Entra-organisationen att lita på autentiseringar från externa identitetsprovidrar. Den resulterande effekten på slutanvändarupplevelser beror på typen av organisation:
- Microsoft Entra-organisationer för anställda och partner: Tillägget av en federation (t.ex. med Gmail) påverkar omedelbart alla gästinbjudningar som ännu inte har lösts in. Se Lägga till Google som identitetsprovider för B2B-gästanvändare.
- Azure Active Directory B2C-organisationer: Tillägget av en federation (till exempel med Facebook eller med en annan Microsoft Entra-organisation) påverkar inte omedelbart slutanvändarflöden förrän identitetsprovidern har lagts till som ett alternativ i ett användarflöde (kallas även en inbyggd princip). Ett exempel finns i Konfigurera ett Microsoft-konto som identitetsprovider . För att ändra användarflöden krävs den begränsade rollen "B2C User Flow Administrator".
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/domains/federation/update | Uppdatera federationsegenskapen för domäner |
| microsoft.directory/identityProviders/allProperties/allTasks | Läsa och konfigurera identitetsprovidrar i Azure Active Directory B2C |
Infrastrukturadministratör
Användare med den här rollen har globala behörigheter inom Microsoft Fabric och Power BI, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Förstå administratörsroller för infrastrukturresurser.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Hantera alla aspekter av Infrastrukturresurser och Power BI |
Global administratör för
Det här är en privilegierad roll. Användare med den här rollen har åtkomst till alla administrativa funktioner i Microsoft Entra-ID samt tjänster som använder Microsoft Entra-identiteter som Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview, Exchange Online, SharePoint Online och Skype för företag Online. Globala administratörer kan visa katalogaktivitetsloggar. Dessutom kan globala administratörer öka sin åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper. På så sätt kan globala administratörer få fullständig åtkomst till alla Azure-resurser med hjälp av respektive Microsoft Entra-klientorganisation. Den person som registrerar sig för Microsoft Entra-organisationen blir global administratör. Det kan finnas fler än en global administratör på företaget. Globala administratörer kan återställa lösenordet för alla användare och alla andra administratörer. En global administratör kan inte ta bort sin egen globala administratörstilldelning. Detta för att förhindra en situation där en organisation inte har några globala administratörer.
Kommentar
Som bästa praxis rekommenderar Microsoft att du tilldelar rollen Global administratör till färre än fem personer i din organisation. Mer information finns i Metodtips för Microsoft Entra-roller.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Microsoft Entra-ID |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Hantera åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Skapa och hantera administrativa enheter (inklusive medlemmar) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID |
| microsoft.directory/applications/allProperties/allTasks | Skapa och ta bort program och läsa och uppdatera alla egenskaper |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/users/authenticationMethods/create | Uppdatera autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/read | Läsa standardegenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Hantera alla aspekter av auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps |
| microsoft.directory/connectors/create | Skapa anslutningsappar för programproxy |
| microsoft.directory/connectors/allProperties/read | Läs alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/connectorGroups/create | Skapa anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/delete | Ta bort anslutningsgrupper för programproxy |
| microsoft.directory/connectorGroups/allProperties/read | Läs alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/connectorGroups/allProperties/update | Uppdatera alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/contacts/allProperties/allTasks | Skapa och ta bort kontakter och läsa och uppdatera alla egenskaper |
| microsoft.directory/contracts/allProperties/allTasks | Skapa och ta bort partnerkontrakt och läsa och uppdatera alla egenskaper |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Skapa och hantera anpassade autentiseringstillägg |
| microsoft.directory/deletedItems/delete | Ta bort objekt permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems/restore | Återställa mjukt borttagna objekt till ursprungligt tillstånd |
| microsoft.directory/devices/allProperties/allTasks | Skapa och ta bort enheter och läs och uppdatera alla egenskaper |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Tilldela en licens till rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Bearbeta om licenstilldelningar till rolltilldelningsbara grupper |
| microsoft.directory/multiTenantOrganization/basic/update | Uppdatera grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/create | Skapa en organisation för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Ansluta till en organisation för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/standard/read | Läsa grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Uppdatera grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/create | Skapa en klientorganisation i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/delete | Ta bort en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/namedLocations/create | Skapa anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/delete | Ta bort anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/basic/update | Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/deviceLocalCredentials/password/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceManagementPolicies/basic/update | Uppdatera grundläggande egenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper |
| microsoft.directory/directoryRoles/allProperties/allTasks | Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Skapa och ta bort Microsoft Entra-rollmallar och läsa och uppdatera alla egenskaper |
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.directory/domains/federationConfiguration/standard/read | Läsa standardegenskaper för federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/basic/update | Uppdatera grundläggande federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/create | Skapa federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/delete | Ta bort federationskonfiguration för domäner |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/groups/allProperties/allTasks | Skapa och ta bort grupper och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupsAssignableToRoles/create | Skapa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/delete | Ta bort rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/restore | Återställa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Uppdatera rolltilldelningsbara grupper |
| microsoft.directory/group Inställningar/allProperties/allTasks | Skapa och ta bort gruppinställningar och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Skapa och ta bort gruppinställningsmallar och läsa och uppdatera alla egenskaper |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera hybridautentiseringsprincip i Microsoft Entra-ID |
| microsoft.directory/identityProtection/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Entra ID Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Skapa och ta bort loginTenantBranding och läs och uppdatera alla egenskaper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/organization/allProperties/allTasks | Läsa och uppdatera alla egenskaper för en organisation |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Microsoft Entra-ID |
| microsoft.directory/policies/allProperties/allTasks | Skapa och ta bort principer och läsa och uppdatera alla egenskaper |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Hantera alla egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Uppdatera grundläggande inställningar för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningarna för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Uppdatera klientbegränsningar för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Skapa åtkomstprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Ta bort åtkomstprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Uppdatera principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Inställningar | Återställ principmallen för synkronisering mellan klientorganisationer för flera klientorganisationer till standardinställningarna |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Uppdatera principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Inställningar | Återställ principmallen för åtkomst mellan klientorganisationer för flera klientorganisationer till standardinställningarna |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Skapa synkroniseringsprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Uppdatera grundläggande inställningar för synkroniseringsprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/serviceAction/activateService | Kan utföra åtgärden "aktivera tjänst" för en tjänst |
| microsoft.directory/serviceAction/disableDirectoryFeature | Kan utföra tjänståtgärden "inaktivera katalogfunktion" |
| microsoft.directory/serviceAction/enableDirectoryFeature | Kan utföra tjänståtgärden "aktivera katalogfunktion" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan utföra åtgärden getAvailableExtentionProperties-tjänsten |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Skapa och ta bort tjänstens huvudnamn och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Bevilja medgivande för alla behörigheter till alla program |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Köpa och hantera prenumerationer och ta bort prenumerationer |
| microsoft.directory/users/allProperties/allTasks | Skapa och ta bort användare och läs och uppdatera alla egenskaper |
| microsoft.directory/users/convertExternalToInternalMemberUser | Konvertera extern användare till intern användare |
| microsoft.directory/permissionGrantPolicies/create | Skapa principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/delete | Ta bort behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/basic/update | Uppdatera grundläggande egenskaper för behörighetsgivningsprinciper |
| microsoft.directory/servicePrincipalCreationPolicies/create | Skapa principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Ta bort principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/tenantManagement/tenants/create | Skapa nya klienter i Microsoft Entra-ID |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läsa ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Återkalla ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Skapa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Uppdatera ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/create | Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/delete | Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Uppdateringskonfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Hantera alla aspekter av livscykelarbetsflöden och uppgifter i Microsoft Entra-ID |
| microsoft.directory/pendingExternalUserProfiles/create | Skapa externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Ta bort externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/basic/update | Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/delete | Ta bort externa användarprofiler i den utökade katalogen för Teams |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Hantera alla aspekter av Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Hantera alla aspekter av Office 365-fakturering |
| microsoft.commerce.billing/purchases/standard/read | Läs köptjänster i administrationscentret för M365. |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Entra-nätverksåtkomst |
| microsoft.flow/allEntities/allTasks | Hantera alla aspekter av Microsoft Power Automate |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Skapa, läsa, uppdatera och ta bort leveransadresser för Microsofts maskinvarugarantianspråk, inklusive leveransadresser som skapats av andra |
| microsoft.hardware.support/shippingStatus/allProperties/read | Läs leveransstatus för öppna microsofts maskinvarugarantianspråk |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Skapa och hantera alla aspekter av Microsofts maskinvarugarantianspråk |
| microsoft.insights/allEntities/allProperties/allTasks | Hantera alla aspekter av Insights-appen |
| microsoft.intune/allEntities/allTasks | Hantera alla aspekter av Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Hantera alla aspekter av Office 365 Efterlevnadshanteraren |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Hantera alla aspekter av Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Hantera alla aspekter av Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Läsa analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Läsa och uppdatera alla egenskaper för kunskapsnätverket i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Hantera utbildningskällor och alla deras egenskaper i utbildningsappen. |
| microsoft.office365.lockbox/allEntities/allTasks | Hantera alla aspekter av Customer Lockbox |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Hantera alla redigeringsaspekter av Microsoft 365-organisationsmeddelanden |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Hantera alla aspekter av säkerhets- och efterlevnadscenter |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Office 365 Security & Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Läsa och uppdatera synligheten för nya meddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Hantera alla aspekter av Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Entra – behörighetshantering |
| microsoft.powerApps/allEntities/allTasks | Hantera alla aspekter av Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Hantera alla aspekter av Infrastrukturresurser och Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Hantera alla resurser i Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Viva-mål |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Viva Pulse |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Microsoft Defender för Endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Läsa och konfigurera alla aspekter av Windows Update Service |
Global läsare
Det här är en privilegierad roll. Användare i den här rollen kan läsa inställningar och administrativ information i Microsoft 365-tjänster men kan inte vidta hanteringsåtgärder. Global läsare är den skrivskyddade motsvarigheten till global administratör. Tilldela global läsare i stället för global administratör för planering, granskningar eller undersökningar. Använd Global läsare i kombination med andra begränsade administratörsroller som Exchange-administratör för att göra det enklare att få jobbet gjort utan att tilldela rollen Global administratör. Global Reader fungerar med Administrationscenter för Microsoft 365, Administrationscenter för Exchange, Administrationscenter för SharePoint, Administrationscenter för Teams, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview, Azure-portalen och Enhetshantering administrationscenter.
Användare med den här rollen kan inte göra följande:
- Det går inte att komma åt området Köptjänster i Administrationscenter för Microsoft 365.
Kommentar
Rollen Global läsare har följande begränsningar:
- Administrationscenter för OneDrive – Administrationscenter för OneDrive stöder inte rollen Global läsare
- Administrationscenter för Microsoft 365 – Global läsare kan inte läsa integrerade appar. Fliken Integrerade appar finns inte under Inställningar i den vänstra rutan i Administrationscenter för Microsoft 365.
- Microsoft 365 Defender-portalen – Global läsare kan inte läsa SCC-granskningsloggar, göra innehållssökning eller se Säkerhetspoäng.
- Administrationscenter för Teams – Global läsare kan inte läsa Teams livscykel, analysrapporter&, hantering av IP-telefonenheter och appkatalog. Mer information finns i Använda Microsoft Teams-administratörsroller för att hantera Teams.
- Privileged Access Management stöder inte rollen Global läsare.
- Azure Information Protection – Global läsare stöds endast för central rapportering och när din Microsoft Entra-organisation inte finns på den enhetliga etikettplattformen.
- SharePoint – Global läsare kan för närvarande inte komma åt SharePoint med hjälp av PowerShell.
- Administrationscenter för Power Platform – Global läsare stöds ännu inte i administrationscentret för Power Platform.
- Microsoft Purview stöder inte rollen Global läsare.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Inaktuell) Läs alla egenskaper för åtkomstgranskningar |
| microsoft.directory/accessReviews/definitions/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Läs alla egenskaper för principer för begäran om administratörsmedgivande i Microsoft Entra-ID |
| microsoft.directory/administrativeUnits/allProperties/read | Läs alla egenskaper för administrativa enheter, inklusive medlemmar |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID |
| microsoft.directory/applications/allProperties/read | Läs alla egenskaper (inklusive privilegierade egenskaper) för alla typer av program |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/cloudAppSecurity/allProperties/read | Läs alla egenskaper för Defender för molnet-appar |
| microsoft.directory/connectors/allProperties/read | Läs alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/connectorGroups/allProperties/read | Läs alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/contacts/allProperties/read | Läsa alla egenskaper för kontakter |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Läsa anpassade autentiseringstillägg |
| microsoft.directory/deviceLocalCredentials/standard/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet |
| microsoft.directory/devices/allProperties/read | Läs alla enhetsegenskaper |
| microsoft.directory/directoryRoles/allProperties/read | Läsa alla egenskaper för katalogroller |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Läs alla egenskaper för katalogrollmallar |
| microsoft.directory/domains/allProperties/read | Läsa alla egenskaper för domäner |
| microsoft.directory/domains/federationConfiguration/standard/read | Läsa standardegenskaper för federationskonfiguration för domäner |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/externalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/groups/allProperties/read | Läs alla egenskaper (inklusive privilegierade egenskaper) i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/group Inställningar/allProperties/read | Läs alla egenskaper för gruppinställningar |
| microsoft.directory/groupSettingTemplates/allProperties/read | Läs alla egenskaper för gruppinställningsmallar |
| microsoft.directory/identityProtection/allProperties/read | Läs alla resurser i Microsoft Entra ID Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Läs alla egenskaper för organisationens varumärkesbaserade inloggningssida |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Läs alla egenskaper för OAuth 2.0-behörighetsbidrag |
| microsoft.directory/organization/allProperties/read | Läsa alla egenskaper för en organisation |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för behörighetsgivningsprinciper |
| microsoft.directory/policies/allProperties/read | Läs alla principegenskaper |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Läs alla egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/standard/read | Läsa grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/roleAssignments/allProperties/read | Läs alla egenskaper för rolltilldelningar |
| microsoft.directory/roleDefinitions/allProperties/read | Läsa alla egenskaper för rolldefinitioner |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Visa medlemmar i administrativa enheter |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Kan utföra åtgärden getAvailableExtentionProperties-tjänsten |
| microsoft.directory/servicePrincipals/allProperties/read | Läs alla egenskaper (inklusive privilegierade egenskaper) i servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.directory/subscribedSkus/allProperties/read | Läs alla egenskaper för produktprenumerationer |
| microsoft.directory/users/allProperties/read | Läs alla egenskaper för användare |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Läsa ett verifierbart autentiseringskort |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Läsa ett verifierbart kontrakt för autentiseringsuppgifter |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Läs alla egenskaper för livscykelarbetsflöden och uppgifter i Microsoft Entra-ID |
| microsoft.cloudPC/allEntities/allProperties/read | Läs alla aspekter av Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Läs alla resurser för Office 365-fakturering |
| microsoft.commerce.billing/purchases/standard/read | Läs köptjänster i administrationscentret för M365. |
| microsoft.edge/allEntities/allProperties/read | Läs alla aspekter av Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/read | Läs alla aspekter av Microsoft Entra-nätverksåtkomst |
| microsoft.hardware.support/shippingAddress/allProperties/read | Läs leveransadresser för Microsofts maskinvarugarantianspråk, inklusive befintliga leveransadresser som skapats av andra |
| microsoft.hardware.support/shippingStatus/allProperties/read | Läs leveransstatus för öppna microsofts maskinvarugarantianspråk |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Läs microsofts garantianspråk för maskinvara |
| microsoft.insights/allEntities/allProperties/read | Läs alla aspekter av Viva Insights |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Läs alla aspekter av Microsoft 365-organisationsmeddelanden |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Läs alla egenskaper i säkerhets- och efterlevnadscenter |
| microsoft.office365.securityComplianceCenter/allEntities/read | Läsa standardegenskaper i Microsoft 365 Security and Compliance Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Läs alla aspekter av Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Läs alla aspekter av Microsoft Entra – behörighetshantering |
| microsoft.teams/allEntities/allProperties/read | Läs alla egenskaper för Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Läs alla aspekter av virtuella besök |
| microsoft.viva.goals/allEntities/allProperties/read | Läs alla aspekter av Microsoft Viva-mål |
| microsoft.viva.pulse/allEntities/allProperties/read | Läs alla aspekter av Microsoft Viva Pulse |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Läs alla aspekter av Windows Update Service |
Global administratör för säker åtkomst
Tilldela rollen Global administratör för säker åtkomst till användare som behöver göra följande:
- Skapa och hantera alla aspekter av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst
- Hantera åtkomst till offentliga och privata slutpunkter
Användare med den här rollen kan inte göra följande:
- Det går inte att hantera företagsprogram, programregistreringar, villkorlig åtkomst eller proxyinställningar för program
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.directory/applicationPolicies/standard/read | Läsa standardegenskaper för programprinciper |
| microsoft.directory/applications/applicationProxy/read | Läs alla egenskaper för programproxy |
| microsoft.directory/applications/owners/read | Läs ägare av program |
| microsoft.directory/applications/policies/read | Läsa programprinciper |
| microsoft.directory/applications/standard/read | Läsa standardegenskaper för program |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läs villkorsstyrd åtkomst för principer |
| microsoft.directory/connectorGroups/allProperties/read | Läs alla egenskaper för programproxyanslutningsgrupper |
| microsoft.directory/connectors/allProperties/read | Läs alla egenskaper för anslutningsappar för programproxy |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Entra-nätverksåtkomst |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Gruppadministratör
Användare i den här rollen kan skapa/hantera grupper och dess inställningar som namngivnings- och förfalloprinciper. Det är viktigt att förstå att tilldela en användare till den här rollen ger dem möjlighet att hantera alla grupper i organisationen över olika arbetsbelastningar som Teams, SharePoint och Yammer utöver Outlook. Användaren kommer också att kunna hantera de olika gruppernas inställningar i olika administratörsportaler som Microsofts administrationscenter, Azure-portalen samt arbetsbelastningsspecifika som Teams- och SharePoint-administrationscenter.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Ta bort grupper permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/restore | Återställa grupper från en container med mjuk borttagning |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Microsoft Entra-grupper så att de skrivs tillbaka till lokalt med Microsoft Entra Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Gäst inbjudare
Användare i den här rollen kan hantera inbjudningar till Microsoft Entra B2B-gästanvändare när inställningen Medlemmar kan bjuda in användare är inställd på Nej. Mer information om B2B-samarbete finns i Om Microsoft Entra B2B-samarbete. Den innehåller inga andra behörigheter.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/standard/read | Läsa grundläggande egenskaper för användare |
| microsoft.directory/users/appRoleAssignments/read | Läsa programrolltilldelningar för användare |
| microsoft.directory/users/deviceForResourceAccount/read | Läsa deviceForResourceAccount för användare |
| microsoft.directory/users/directReports/read | Läs direktrapporterna för användare |
| microsoft.directory/users/licenseDetails/read | Läs licensinformation för användare |
| microsoft.directory/users/manager/read | Läs chef för användare |
| microsoft.directory/users/memberOf/read | Läs gruppmedlemskap för användare |
| microsoft.directory/users/oAuth2PermissionGrants/read | Läs delegerade behörighetsbidrag för användare |
| microsoft.directory/users/ownedDevices/read | Läsa användares ägda enheter |
| microsoft.directory/users/ownedObjects/read | Läsägda objekt för användare |
| microsoft.directory/users/photo/read | Läs foto av användare |
| microsoft.directory/users/registeredDevices/read | Läsa registrerade enheter för användare |
| microsoft.directory/users/scopedRoleMemberOf/read | Läs användarens medlemskap i en Microsoft Entra-roll, som är begränsad till en administrativ enhet |
| microsoft.directory/users/sponsors/read | Läsa sponsorer av användare |
Supportadministratör
Det här är en privilegierad roll. Användare med den här rollen kan ändra lösenord, ogiltigförklara uppdateringstoken, skapa och hantera supportförfrågningar med Microsoft för Azure- och Microsoft 365-tjänster och övervaka tjänstens hälsa. Om en uppdateringstoken ogiltigförklaras tvingar det användaren att logga in igen. Om en supportadministratör kan återställa en användares lösenord och ogiltigförklara uppdateringstoken beror på vilken roll användaren har tilldelats. En lista över de roller som en supportadministratör kan återställa lösenord för och ogiltigförklara uppdateringstoken finns i Vem kan återställa lösenord.
Användare med den här rollen kan inte göra följande:
- Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
Viktigt!
Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration inom och utanför Microsoft Entra-ID. Att ändra lösenordet för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte beviljas supportadministratörer. Genom den här sökvägen kan en supportadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
- Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
- Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
Det går att delegera administrativa behörigheter över delmängder av användare och tillämpa principer på en delmängd av användarna med administrativa enheter.
Den här rollen hette tidigare lösenordsadministratör i Azure-portalen. Det har bytt namn till Supportadministratör för att anpassa till det befintliga namnet i Microsoft Graph API och Azure AD PowerShell.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/deviceLocalCredentials/standard/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Hybrididentitetsadministratör
Det här är en privilegierad roll. Användare i den här rollen kan skapa, hantera och distribuera konfigurationskonfigurationen från Active Directory till Microsoft Entra ID med cloud provisioning samt hantera Microsoft Entra Anslut, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel inloggning (sömlös enkel inloggning) och federationsinställningar. Användare kan också felsöka och övervaka loggar med hjälp av den här rollen.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/create | Skapa alla typer av program |
| microsoft.directory/applications/delete | Ta bort alla typer av program |
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/applications/synchronization/standard/read | Läsa etableringsinställningar som är associerade med programobjektet |
| microsoft.directory/applicationTemplates/instantiate | Instansiera galleriprogram från programmallar |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Läsa och konfigurera alla egenskaper för Microsoft Entra-molnetableringstjänsten. |
| microsoft.directory/deletedItems.applications/delete | Ta bort program permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.applications/restore | Återställa mjukt borttagna program till ursprungligt tillstånd |
| microsoft.directory/domains/allProperties/read | Läsa alla egenskaper för domäner |
| microsoft.directory/domains/federation/update | Uppdatera federationsegenskapen för domäner |
| microsoft.directory/domains/federationConfiguration/standard/read | Läsa standardegenskaper för federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/basic/update | Uppdatera grundläggande federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/create | Skapa federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/delete | Ta bort federationskonfiguration för domäner |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Hantera hybridautentiseringsprincip i Microsoft Entra-ID |
| microsoft.directory/organization/dirSync/update | Uppdatera egenskapen för katalogsynkronisering för organisationen |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Microsoft Entra-ID |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/servicePrincipals/create | Skapa tjänsthuvudnamn |
| microsoft.directory/servicePrincipals/delete | Ta bort tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/disable | Inaktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/enable | Aktivera tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Hantera hemligheter och autentiseringsuppgifter för programetablering |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starta, starta om och pausa synkroniseringsjobb för programetablering |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Skapa och hantera synkroniseringsjobb och schema för programetablering |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/audience/update | Uppdatera målgruppsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/authentication/update | Uppdatera autentiseringsegenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/basic/update | Uppdatera grundläggande egenskaper för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/notes/update | Uppdatera anteckningar om tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/owners/update | Uppdatera ägare av tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/tag/update | Uppdatera taggegenskapen för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Läsa etableringsinställningar som är associerade med tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.directory/users/authorizationInfo/update | Uppdatera användar-ID:t för flervärdescertifikat för användare |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för identitetsstyrning
Användare med den här rollen kan hantera Konfiguration av Styrning av Microsoft Entra-ID, inklusive åtkomstpaket, åtkomstgranskningar, kataloger och principer, säkerställa att åtkomst godkänns och granskas och gästanvändare som inte längre behöver åtkomst tas bort.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Hantera åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/create | Skapa åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/delete | Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Microsoft Entra-ID |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
Insights-administratör
Användare i den här rollen kan komma åt alla administrativa funktioner i Microsoft Viva Insights-appen. Den här rollen har möjlighet att läsa kataloginformation, övervaka tjänstens hälsa, filsupportärenden och få åtkomst till inställningarna för Insights-administratören.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.insights/allEntities/allProperties/allTasks | Hantera alla aspekter av Insights-appen |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Insights-analytiker
Tilldela rollen Insights-analytiker till användare som behöver göra följande:
- Analysera data i Microsoft Viva Insights-appen, men kan inte hantera några konfigurationsinställningar
- Skapa, hantera och köra frågor
- Visa grundläggande inställningar och rapporter i Administrationscenter för Microsoft 365
- Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
| Åtgärder | beskrivning |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Köra och hantera frågor i Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Insights Business Leader
Användare i den här rollen kan komma åt en uppsättning instrumentpaneler och insikter via Microsoft Viva Insights-appen. Detta inkluderar fullständig åtkomst till alla instrumentpaneler och presenterade insikter och funktioner för datautforskning. Användare i den här rollen har inte åtkomst till produktkonfigurationsinställningar, vilket är ansvaret för rollen Insights-administratör.
| Åtgärder | beskrivning |
|---|---|
| microsoft.insights/reports/allProperties/read | Visa rapporter och instrumentpaneler i Insights-appen |
| microsoft.insights/programs/allProperties/update | Distribuera och hantera program i Insights-appen |
Intune-administratör
Det här är en privilegierad roll. Användare med den här rollen har globala behörigheter i Microsoft Intune Online när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper. Mer information finns i Rollbaserad administrationskontroll (RBAC) med Microsoft Intune.
Den här rollen kan skapa och hantera alla säkerhetsgrupper. Intune-administratören har dock inte administratörsbehörighet över Office-grupper. Det innebär att administratören inte kan uppdatera ägare eller medlemskap för alla Office-grupper i organisationen. Han/hon kan dock hantera den Office-grupp som han skapar och som ingår i slutanvändarbehörigheten. Därför bör alla Office-grupper (inte säkerhetsgrupper) som han/hon skapar räknas mot kvoten på 250.
Kommentar
I Microsoft Graph API och Azure AD PowerShell får den här rollen namnet Intune-tjänstadministratör. I Azure-portalen heter den Intune-administratör.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.devices/delete | Ta bort enheter permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.devices/restore | Återställa mjuka borttagna enheter till ursprungligt tillstånd |
| microsoft.directory/devices/create | Skapa enheter (registrera i Microsoft Entra-ID) |
| microsoft.directory/devices/delete | Ta bort enheter från Microsoft Entra-ID |
| microsoft.directory/devices/disable | Inaktivera enheter i Microsoft Entra-ID |
| microsoft.directory/devices/enable | Aktivera enheter i Microsoft Entra-ID |
| microsoft.directory/devices/basic/update | Uppdatera grundläggande egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet1/update | Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet2/update | Uppdatera tilläggetAttribute6 till egenskaperna extensionAttribute10 på enheter |
| microsoft.directory/devices/extensionAttributeSet3/update | Uppdatera tilläggetAttribute11 till egenskaperna extensionAttribute15 på enheter |
| microsoft.directory/devices/registeredOwners/update | Uppdatera registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/update | Uppdatera registrerade användare av enheter |
| microsoft.directory/deviceLocalCredentials/password/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.intune/allEntities/allTasks | Hantera alla aspekter av Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Läs alla aspekter av Microsoft 365-organisationsmeddelanden |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Kaizala-administratör
Användare med den här rollen har globala behörigheter för att hantera inställningar i Microsoft Kaizala, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Dessutom kan användaren komma åt rapporter som rör implementering & av Kaizala av organisationsmedlemmar och affärsrapporter som genereras med hjälp av Kaizala-åtgärderna.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Kunskapsadministratör
Användare i den här rollen har fullständig åtkomst till alla inställningar för kunskap, inlärning och intelligenta funktioner i Administrationscenter för Microsoft 365. De har en allmän förståelse för produktsviten, licensieringsinformation och har ansvar för att kontrollera åtkomsten. Kunskapsadministratör kan skapa och hantera innehåll, till exempel ämnen, förkortningar och utbildningsresurser. Dessutom kan dessa användare skapa innehållscentra, övervaka tjänstens hälsa och skapa tjänstbegäranden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/createAsOwner | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare. |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Läsa och uppdatera alla egenskaper för kunskapsnätverket i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Hantera utbildningskällor och alla deras egenskaper i utbildningsappen. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Läs alla egenskaper för känslighetsetiketter i säkerhets- och efterlevnadscenter |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Kunskapshanteraren
Användare i den här rollen kan skapa och hantera innehåll, till exempel ämnen, förkortningar och inlärningsinnehåll. Dessa användare ansvarar främst för kunskapens kvalitet och struktur. Den här användaren har fullständig behörighet till ämneshanteringsåtgärder för att bekräfta ett ämne, godkänna ändringar eller ta bort ett ämne. Den här rollen kan också hantera taxonomier som en del av verktyget för hantering av termlagringsplatser och skapa innehållscentra.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/createAsOwner | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare. |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Läsa analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Licensadministratör
Användare i den här rollen kan läsa, lägga till, ta bort och uppdatera licenstilldelningar för användare, grupper (med gruppbaserad licensiering) och hantera användningsplatsen för användare. Rollen ger inte möjlighet att köpa eller hantera prenumerationer, skapa eller hantera grupper eller skapa eller hantera användare utanför användningsplatsen. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för användare |
| microsoft.directory/users/usageLocation/update | Uppdatera användarnas användningsplats |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för livscykelarbetsflöden
Tilldela rollen Administratör för livscykelarbetsflöden till användare som behöver utföra följande uppgifter:
- Skapa och hantera alla aspekter av arbetsflöden och uppgifter som är associerade med livscykelarbetsflöden i Microsoft Entra-ID
- Kontrollera körningen av schemalagda arbetsflöden
- Starta arbetsflödeskörningar på begäran
- Granska arbetsflödets körningsloggar
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Hantera alla aspekter av livscykelarbetsflöden och uppgifter i Microsoft Entra-ID |
| microsoft.directory/organization/strongAuthentication/read | Läsa starka autentiseringsegenskaper för en organisation |
Sekretessläsare för Meddelandecenter
Användare i den här rollen kan övervaka alla meddelanden i Meddelandecenter, inklusive datasekretessmeddelanden. Sekretessläsare i Meddelandecenter får e-postaviseringar, inklusive sådana som rör datasekretess, och de kan avbryta prenumerationen med hjälp av Inställningar för Meddelandecenter. Endast den globala administratören och meddelandecentrets sekretessläsare kan läsa datasekretessmeddelanden. Dessutom innehåller den här rollen möjligheten att visa grupper, domäner och prenumerationer. Den här rollen har ingen behörighet att visa, skapa eller hantera tjänstbegäranden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.messageCenter/securityMessages/read | Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Meddelandecenterläsare
Användare i den här rollen kan övervaka meddelanden och rådgivande hälsouppdateringar i Meddelandecenter för organisationen på konfigurerade tjänster som Exchange, Intune och Microsoft Teams. Meddelandecenterläsare får veckovisa e-postsammandrag av inlägg, uppdateringar och kan dela inlägg i meddelandecenter i Microsoft 365. I Microsoft Entra-ID har användare som tilldelats den här rollen endast skrivskyddad åtkomst till Microsoft Entra-tjänster som användare och grupper. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Microsofts administratör för maskinvarugaranti
Tilldela rollen Microsoft Hardware Warranty Administrator till användare som behöver utföra följande uppgifter:
- Skapa nya garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens
- Sök och läs öppna eller stängda garantianspråk
- Sök och läs garantianspråk efter serienummer
- Skapa, läsa, uppdatera och ta bort leveransadresser
- Läs leveransstatus för öppna garantianspråk
- Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
- Läs meddelandecentermeddelanden i Administrationscenter för Microsoft 365
Ett garantianspråk är en begäran om att få maskinvaran reparerad eller ersatt i enlighet med garantivillkoren. Mer information finns i Självbetjäning av dina förfrågningar om Surface-garantitjänster&.
| Åtgärder | beskrivning |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Skapa, läsa, uppdatera och ta bort leveransadresser för Microsofts maskinvarugarantianspråk, inklusive leveransadresser som skapats av andra |
| microsoft.hardware.support/shippingStatus/allProperties/read | Läs leveransstatus för öppna microsofts maskinvarugarantianspråk |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Skapa och hantera alla aspekter av Microsofts maskinvarugarantianspråk |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Microsoft Hardware Warranty Specialist
Tilldela rollen Microsoft Hardware Warranty Specialist till användare som behöver utföra följande uppgifter:
- Skapa nya garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens
- Läs garantianspråk som de har skapat
- Läsa och uppdatera befintliga leveransadresser
- Läs leveransstatus för öppna garantianspråk som de skapade
- Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
Ett garantianspråk är en begäran om att få maskinvaran reparerad eller ersatt i enlighet med garantivillkoren. Mer information finns i Självbetjäning av dina förfrågningar om Surface-garantitjänster&.
| Åtgärder | beskrivning |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Läs leveransadresser för Microsofts maskinvarugarantianspråk, inklusive befintliga leveransadresser som skapats av andra |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Skapa garantianspråk för Microsoft-maskinvara där skaparen är ägare |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Läs leveransstatus för öppna microsofts maskinvarugarantianspråk |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Läs microsofts garantianspråk för maskinvara |
Modern commerce-användare
Använd inte. Den här rollen tilldelas automatiskt från Commerce och är inte avsedd eller stöds inte för någon annan användning. Se information nedan.
Rollen Modern Commerce-användare ger vissa användare behörighet att komma åt Administrationscenter för Microsoft 365 och se de vänstra navigeringsposterna för Start, Fakturering och Support. Innehållet som är tillgängligt inom dessa områden styrs av handelsspecifika roller som tilldelas användare för att hantera produkter som de har köpt för sig själva eller din organisation. Detta kan omfatta uppgifter som att betala fakturor eller för åtkomst till faktureringskonton och faktureringsprofiler.
Användare med rollen Modern Commerce-användare har vanligtvis administrativa behörigheter i andra Microsoft-inköpssystem, men har inte roller som global administratör eller faktureringsadministratör som används för att komma åt administrationscentret.
När tilldelas rollen Modern Commerce-användare?
- Självbetjäningsköp i Administrationscenter för Microsoft 365 – Självbetjäningsköp ger användarna en chans att prova nya produkter genom att köpa eller registrera sig för dem på egen hand. Dessa produkter hanteras i administrationscentret. Användare som gör ett självbetjäningsköp tilldelas en roll i handelssystemet och rollen Modern Commerce-användare så att de kan hantera sina inköp i administrationscentret. Administratörer kan blockera självbetjäningsköp (för Infrastrukturresurser, Power BI, Power Apps, Power Automate) via PowerShell. Mer information finns i Vanliga frågor och svar om självbetjäningsköp.
- Köp från Microsofts kommersiella marknadsplats – Liknar självbetjäningsköp, när en användare köper en produkt eller tjänst från Microsoft AppSource eller Azure Marketplace, tilldelas rollen Modern Commerce-användare om de inte har rollen Global administratör eller faktureringsadministratör. I vissa fall kan användare blockeras från att göra dessa inköp. Mer information finns i Microsofts kommersiella marknadsplats.
- Förslag från Microsoft – Ett förslag är ett formellt erbjudande från Microsoft för din organisation att köpa Microsofts produkter och tjänster. När den person som godkänner förslaget inte har en global administratörs- eller faktureringsadministratörsroll i Microsoft Entra-ID tilldelas de både en handelsspecifik roll för att slutföra förslaget och rollen Modern Commerce-användare för att få åtkomst till administrationscentret. När de kommer åt administrationscentret kan de bara använda funktioner som är auktoriserade av deras handelsspecifika roll.
- Handelsspecifika roller – Vissa användare tilldelas handelsspecifika roller. Om en användare inte är global administratör eller faktureringsadministratör får de rollen Modern Commerce-användare så att de kan komma åt administrationscentret.
Om rollen Modern Commerce-användare inte har tilldelats från en användare förlorar de åtkomsten till Administrationscenter för Microsoft 365. Om de hanterar några produkter, antingen för sig själva eller för din organisation, kommer de inte att kunna hantera dem. Det kan vara att tilldela licenser, ändra betalningsmetoder, betala fakturor eller andra uppgifter för att hantera prenumerationer.
| Åtgärder | beskrivning |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Hantera alla aspekter av Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/basic/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Nätverksadministratör
Användare i den här rollen kan granska rekommendationer för nätverksperimeterarkitektur från Microsoft som baseras på nätverkstelemetri från deras användarplatser. Nätverksprestanda för Microsoft 365 förlitar sig på noggrann nätverksperimeterarkitektur för företagskunder, vilket vanligtvis är användarplatsspecifikt. Den här rollen möjliggör redigering av identifierade användarplatser och konfiguration av nätverksparametrar för dessa platser för att underlätta förbättrade telemetrimätningar och designrekommendationer
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Hantera alla aspekter av nätverksplatser |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för Office-appar
Användare i den här rollen kan hantera Molninställningar för Microsoft 365-appar. Detta omfattar hantering av molnprinciper, självbetjäningshantering för nedladdning och möjligheten att visa Office-appen s relaterade rapport. Den här rollen ger dessutom möjlighet att hantera supportärenden och övervaka tjänstens hälsa i huvudadministrationscentret. Användare som tilldelats den här rollen kan också hantera kommunikation av nya funktioner i Office-appen.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.userCommunication/allEntities/allTasks | Läsa och uppdatera synligheten för nya meddelanden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Författare av organisationsmeddelanden
Tilldela rollen Författare av organisationsmeddelanden till användare som behöver utföra följande uppgifter:
- Skriva, publicera och ta bort organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
- Hantera leveransalternativ för organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
- Läsa resultat av leverans av organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
- Visa användningsrapporter och de flesta inställningar i Administrationscenter för Microsoft 365, men kan inte göra ändringar
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Hantera alla redigeringsaspekter av Microsoft 365-organisationsmeddelanden |
| microsoft.office365.usageReports/allEntities/standard/read | Läsa aggregerade Office 365-användningsrapporter på klientnivå |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Stöd för partnernivå 1
Det här är en privilegierad roll. Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Microsoft Entra-ID i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartners och är inte avsedd för allmän användning.
Viktigt!
Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för endast icke-administratörer. Den här rollen bör inte användas eftersom den är inaktuell.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/deletedItems.users/restore | Återställa mjukt borttagna användare till ursprungligt tillstånd |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/restore | Återställa grupper från en container med mjuk borttagning |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägg till användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Support för partnernivå 2
Det här är en privilegierad roll. Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Microsoft Entra-ID i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartners och är inte avsedd för allmän användning.
Viktigt!
Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för alla icke-administratörer och administratörer (inklusive globala administratörer). Den här rollen bör inte användas eftersom den är inaktuell.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/appRoles/update | Uppdatera egenskapen appRoles för alla typer av program |
| microsoft.directory/applications/audience/update | Uppdatera målgruppsegenskapen för program |
| microsoft.directory/applications/authentication/update | Uppdatera autentisering för alla typer av program |
| microsoft.directory/applications/basic/update | Uppdatera grundläggande egenskaper för program |
| microsoft.directory/applications/credentials/update | Uppdatera programautentiseringsuppgifter |
| microsoft.directory/applications/notes/update | Uppdatera anteckningar om program |
| microsoft.directory/applications/owners/update | Uppdatera ägare av program |
| microsoft.directory/applications/permissions/update | Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program |
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/applications/tag/update | Uppdatera taggar för program |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/deletedItems.users/restore | Återställa mjukt borttagna användare till ursprungligt tillstånd |
| microsoft.directory/domains/allProperties/allTasks | Skapa och ta bort domäner och läsa och uppdatera alla egenskaper |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/restore | Återställa grupper från en container med mjuk borttagning |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/organization/basic/update | Uppdatera grundläggande egenskaper i organisationen |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/subscribedSkus/standard/read | Läsa grundläggande egenskaper för prenumerationer |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägg till användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Lösenordsadministratör
Det här är en privilegierad roll. Användare med den här rollen har begränsad möjlighet att hantera lösenord. Den här rollen ger inte möjlighet att hantera tjänstbegäranden eller övervaka tjänstens hälsa. Om en lösenordsadministratör kan återställa en användares lösenord beror på vilken roll användaren har tilldelats. En lista över de roller som en lösenordsadministratör kan återställa lösenord för finns i Vem kan återställa lösenord.
Användare med den här rollen kan inte göra följande:
- Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för behörighetshantering
Tilldela rollen Administratör för behörighetshantering till användare som behöver utföra följande uppgifter:
- Hantera alla aspekter av Microsoft Entra – behörighetshantering när tjänsten finns
Läs mer om roller och principer för behörighetshantering i Visa information om roller/principer.
| Åtgärder | beskrivning |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Entra – behörighetshantering |
Power Platform-administratör
Användare i den här rollen kan skapa och hantera alla aspekter av miljöer, Power Apps, flöden, principer för dataförlustskydd. Dessutom kan användare med den här rollen hantera supportärenden och övervaka tjänstens hälsa.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.dynamics365/allEntities/allTasks | Hantera alla aspekter av Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Hantera alla aspekter av Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Hantera alla aspekter av Power Apps |
Skrivaradministratör
Användare i den här rollen kan registrera skrivare och hantera alla aspekter av alla skrivarkonfigurationer i Microsoft Universal Print-lösningen, inklusive inställningarna för Universal Print Anslut eller. De kan godkänna alla delegerade begäranden om utskriftsbehörighet. Skrivaradministratörer har också åtkomst till utskriftsrapporter.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Skapa och ta bort skrivare och anslutningsappar samt läsa och uppdatera alla egenskaper i Microsoft Print |
Skrivartekniker
Användare med den här rollen kan registrera skrivare och hantera skrivarstatus i Microsoft Universal Print-lösningen. De kan också läsa all anslutningsinformation. Nyckeluppgift som en skrivartekniker inte kan göra är att ange användarbehörigheter för skrivare och delningsskrivare.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Läs alla egenskaper för anslutningsappar i Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Läs alla egenskaper för skrivare i Microsoft Print |
| microsoft.azure.print/printers/register | Registrera skrivare i Microsoft Print |
| microsoft.azure.print/printers/unregister | Avregistrera skrivare i Microsoft Print |
| microsoft.azure.print/printers/basic/update | Uppdatera grundläggande egenskaper för skrivare i Microsoft Print |
Administratör av privilegierad autentisering
Det här är en privilegierad roll. Tilldela rollen Administratör för privilegierad autentisering till användare som behöver göra följande:
- Ange eller återställ valfri autentiseringsmetod (inklusive lösenord) för alla användare, inklusive globala administratörer.
- Ta bort eller återställa alla användare, inklusive globala administratörer. Mer information finns i Vem kan utföra känsliga åtgärder.
- Tvinga användare att registrera sig på nytt mot befintliga icke-lösenordsautentiseringsuppgifter (till exempel MFA eller FIDO) och återkalla MFA på enheten, vilket uppmanar till MFA vid nästa inloggning för alla användare.
- Uppdatera känsliga egenskaper för alla användare. Mer information finns i Vem kan utföra känsliga åtgärder.
- Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365.
Användare med den här rollen kan inte göra följande:
- Det går inte att hantera MFA per användare i den äldre MFA-hanteringsportalen. Samma funktioner kan utföras med hjälp av Set-MsolUser-kommandoleten Azure AD PowerShell-modulen.
I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera policyn för autentiseringsmetod | Hantera policyn för lösenordsskydd | Uppdatera känsliga egenskaper | Ta bort och återställa användare |
|---|---|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare | Ja för vissa användare | Inga | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Inga | Nej | Inga | Ja för alla användare | Ja för alla användare |
| Administratör för autentiseringsprincip | Inga | Nej | Ja | Ja | Ja | Nej | Inga |
| Användaradministratör | Inga | Nej | Nej | Nej | Inga | Ja för vissa användare | Ja för vissa användare |
Viktigt!
Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Microsoft Entra-ID. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
- Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen och efterlevnadsportal i Microsoft Purview och personalsystem.
- Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Uppdatera autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/delete | Ta bort autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/standard/read | Läsa standardegenskaper för autentiseringsmetoder för användare |
| microsoft.directory/users/authenticationMethods/basic/update | Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare |
| microsoft.directory/deletedItems.users/restore | Återställa mjukt borttagna användare till ursprungligt tillstånd |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/authorizationInfo/update | Uppdatera användar-ID:t för flervärdescertifikat för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för privilegierad roll
Det här är en privilegierad roll. Användare med den här rollen kan hantera rolltilldelningar i Microsoft Entra-ID samt i Microsoft Entra Privileged Identity Management. De kan skapa och hantera grupper som kan tilldelas till Microsoft Entra-roller. Dessutom möjliggör den här rollen hantering av alla aspekter av Privileged Identity Management och administrativa enheter.
Viktigt!
Den här rollen ger möjlighet att hantera tilldelningar för alla Microsoft Entra-roller, inklusive rollen Global administratör. Den här rollen innehåller inte några andra privilegierade funktioner i Microsoft Entra-ID som att skapa eller uppdatera användare. Användare som tilldelats den här rollen kan dock bevilja sig själva eller andra ytterligare behörigheter genom att tilldela ytterligare roller.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Hantera åtkomstgranskningar för Microsoft Entra-rolltilldelningar |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Skapa åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Ta bort åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Skapa och hantera administrativa enheter (inklusive medlemmar) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Hantera alla aspekter av auktoriseringsprincip |
| microsoft.directory/directoryRoles/allProperties/allTasks | Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper |
| microsoft.directory/groupsAssignableToRoles/create | Skapa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/delete | Ta bort rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/restore | Återställa rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Uppdatera rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Tilldela en licens till rolltilldelningsbara grupper |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Bearbeta om licenstilldelningar till rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/permissions/update | Uppdatera behörigheter för tjänstens huvudnamn |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Bevilja medgivande för alla behörigheter till alla program |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.directory/permissionGrantPolicies/create | Skapa principer för beviljande av behörigheter |
| microsoft.directory/permissionGrantPolicies/delete | Ta bort behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Läs alla egenskaper för behörighetsgivningsprinciper |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Uppdatera alla egenskaper för behörighetsgivningsprinciper |
Rapportläsare
Användare med den här rollen kan visa användningsrapporteringsdata och instrumentpanelen för rapporter i Administrationscenter för Microsoft 365 och implementeringskontextpaketet i Fabric och Power BI. Dessutom ger rollen åtkomst till alla inloggningsloggar, granskningsloggar och aktivitetsrapporter i Microsoft Entra-ID och data som returneras av Microsoft Graph-rapport-API:et. En användare som har tilldelats rollen Rapportläsare kan endast komma åt relevanta användnings- och implementeringsmått. De har inga administratörsbehörigheter för att konfigurera inställningar eller komma åt produktspecifika administrationscenter som Exchange. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Sökadministratör
Användare i den här rollen har fullständig åtkomst till alla Microsoft Search-hanteringsfunktioner i Administrationscenter för Microsoft 365. Dessutom kan dessa användare visa meddelandecentret, övervaka tjänstens hälsa och skapa tjänstbegäranden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Sökredigeraren
Användare i den här rollen kan skapa, hantera och ta bort innehåll för Microsoft Search i Administrationscenter för Microsoft 365, inklusive bokmärken, Q&As och platser.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.search/content/manage | Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Säkerhetsadministratör
Det här är en privilegierad roll. Användare med den här rollen har behörighet att hantera säkerhetsrelaterade funktioner i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection och efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.
| Om | Kan göra |
|---|---|
| Microsoft 365 Defender-portalen | Övervaka säkerhetsrelaterade principer i Microsoft 365-tjänster Hantera säkerhetshot och aviseringar Visa rapporter |
| Identity Protection | Alla behörigheter för rollen Säkerhetsläsare Utför alla Identity Protection-åtgärder förutom att återställa lösenord |
| Privileged Identity Management | Alla behörigheter för rollen Säkerhetsläsare Det går inte att hantera Microsoft Entra-rolltilldelningar eller -inställningar |
| Efterlevnadsportal i Microsoft Purview | Hantera säkerhetsprinciper Visa, undersöka och svara på säkerhetshot Visa rapporter |
| Azure Advanced Threat Protection | Övervaka och svara på misstänkt säkerhetsaktivitet |
| Microsoft Defender för Endpoint | Tilldela roller Hantera datorgrupper Konfigurera identifiering av slutpunktshot och automatiserad reparation Visa, undersöka och svara på aviseringar Visa datorer/enhetsinventering |
| Intune | Visar information om användare, enhet, registrering, konfiguration och program Det går inte att göra ändringar i Intune |
| Microsoft Defender för molnet-appar | Lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder |
| Microsoft 365-tjänstens hälsa | Visa hälsotillståndet för Microsoft 365-tjänster |
| Smart utlåsning | Definiera tröskelvärdet och varaktigheten för utelåsningar när misslyckade inloggningshändelser inträffar. |
| Lösenordsskydd | Konfigurera en lista över anpassade förbjudna lösenord eller lokalt lösenordsskydd. |
| Synkronisering mellan klientorganisationer | Konfigurera åtkomstinställningar mellan klientorganisationer för användare i en annan klientorganisation. Säkerhetsadministratörer kan inte skapa och ta bort användare direkt, men kan indirekt skapa och ta bort synkroniserade användare från en annan klientorganisation när båda klienterna har konfigurerats för synkronisering mellan klientorganisationer, vilket är en privilegierad behörighet. |
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/applications/policies/update | Uppdatera programprinciper |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Uppdatera grundläggande inställningar för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningarna för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Uppdatera klientbegränsningar för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Skapa åtkomstprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Ta bort åtkomstprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Uppdatera principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Inställningar | Återställ principmallen för synkronisering mellan klientorganisationer för flera klientorganisationer till standardinställningarna |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Uppdatera principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Inställningar | Återställ principmallen för åtkomst mellan klientorganisationer för flera klientorganisationer till standardinställningarna |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Skapa synkroniseringsprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Uppdatera grundläggande inställningar för synkroniseringsprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer |
| microsoft.directory/deviceLocalCredentials/standard/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet |
| microsoft.directory/domains/federation/update | Uppdatera federationsegenskapen för domäner |
| microsoft.directory/domains/federationConfiguration/standard/read | Läsa standardegenskaper för federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/basic/update | Uppdatera grundläggande federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/create | Skapa federationskonfiguration för domäner |
| microsoft.directory/domains/federationConfiguration/delete | Ta bort federationskonfiguration för domäner |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/identityProtection/allProperties/read | Läs alla resurser i Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Uppdatera alla resurser i Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Uppdatera grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/create | Skapa en organisation för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Ansluta till en organisation för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/standard/read | Läsa grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Uppdatera grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/create | Skapa en klientorganisation i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/delete | Ta bort en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/namedLocations/create | Skapa anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/delete | Ta bort anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/basic/update | Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/policies/create | Skapa principer i Microsoft Entra-ID |
| microsoft.directory/policies/delete | Ta bort principer i Microsoft Entra-ID |
| microsoft.directory/policies/basic/update | Uppdatera grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/update | Uppdatera ägare av principer |
| microsoft.directory/policies/tenantDefault/update | Uppdatera standardprinciper för organisationen |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läs villkorsstyrd åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägarna till principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/owners/update | Uppdatera ägare för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Uppdatera standardklientorganisationen för principer för villkorsstyrd åtkomst |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) |
| microsoft.directory/servicePrincipals/policies/update | Uppdatera principer för tjänstens huvudnamn |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Entra-nätverksåtkomst |
| microsoft.office365.protectionCenter/allEntities/standard/read | Läsa standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/allEntities/basic/update | Uppdatera grundläggande egenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Skapa och hantera attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om attacksimulering, svar och tillhörande utbildning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Skapa och hantera mallar för attacksimulering i Attack Simulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Säkerhetsoperator
Det här är en privilegierad roll. Användare med den här rollen kan hantera aviseringar och ha global skrivskyddad åtkomst till säkerhetsrelaterade funktioner, inklusive all information i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Privileged Identity Management och efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.
| Om | Kan göra |
|---|---|
| Microsoft 365 Defender-portalen | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på aviseringar om säkerhetshot Hantera säkerhetsinställningar i Microsoft 365 Defender-portalen |
| Identity Protection | Alla behörigheter för rollen Säkerhetsläsare Utför alla Identity Protection-åtgärder förutom att konfigurera eller ändra riskbaserade principer, återställa lösenord och konfigurera aviserings-e-postmeddelanden. |
| Privileged Identity Management | Alla behörigheter för rollen Säkerhetsläsare |
| Efterlevnadsportal i Microsoft Purview | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på säkerhetsaviseringar |
| Microsoft Defender för Endpoint | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på säkerhetsaviseringar När du aktiverar rollbaserad åtkomstkontroll i Microsoft Defender för Endpoint förlorar användare med skrivskyddade behörigheter som rollen Säkerhetsläsare åtkomst tills de har tilldelats en Microsoft Defender för Endpoint-roll. |
| Intune | Alla behörigheter för rollen Säkerhetsläsare |
| Microsoft Defender för molnet-appar | Alla behörigheter för rollen Säkerhetsläsare Visa, undersöka och svara på säkerhetsaviseringar |
| Microsoft 365-tjänstens hälsa | Visa hälsotillståndet för Microsoft 365-tjänster |
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps |
| microsoft.directory/identityProtection/allProperties/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Entra ID Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.intune/allEntities/read | Läsa alla resurser i Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Office 365 Security & Compliance Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Hantera alla aspekter av Microsoft Defender för Endpoint |
Säkerhetsläsare
Det här är en privilegierad roll. Användare med den här rollen har global skrivskyddad åtkomst till säkerhetsrelaterad funktion, inklusive all information i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Privileged Identity Management samt möjligheten att läsa Microsoft Entra-inloggningsrapporter och granskningsloggar och i efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.
| Om | Kan göra |
|---|---|
| Microsoft 365 Defender-portalen | Visa säkerhetsrelaterade principer i Microsoft 365-tjänster Visa säkerhetshot och aviseringar Visa rapporter |
| Identity Protection | Visa alla Identity Protection-rapporter och översikt |
| Privileged Identity Management | Har skrivskyddad åtkomst till all information som visas i Microsoft Entra Privileged Identity Management: Principer och rapporter för Microsoft Entra-rolltilldelningar och säkerhetsgranskningar. Det går inte att registrera sig för Microsoft Entra Privileged Identity Management eller göra några ändringar i den. I portalen för privileged Identity Management eller via PowerShell kan någon i den här rollen aktivera ytterligare roller (till exempel Global administratör eller Privilegierad rolladministratör) om användaren är berättigad till dem. |
| Efterlevnadsportal i Microsoft Purview | Visa säkerhetsprinciper Visa och undersöka säkerhetshot Visa rapporter |
| Microsoft Defender för Endpoint | Visa och undersöka aviseringar När du aktiverar rollbaserad åtkomstkontroll i Microsoft Defender för Endpoint förlorar användare med skrivskyddade behörigheter som rollen Säkerhetsläsare åtkomst tills de har tilldelats en Microsoft Defender för Endpoint-roll. |
| Intune | Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune. |
| Microsoft Defender för molnet-appar | Har läsbehörigheter. |
| Microsoft 365-tjänstens hälsa | Visa hälsotillståndet för Microsoft 365-tjänster |
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID |
| microsoft.directory/auditLogs/allProperties/read | Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut |
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/bitlockerKeys/key/read | Läsa bitlocker-metadata och nyckel på enheter |
| microsoft.directory/deviceLocalCredentials/standard/read | Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet |
| microsoft.directory/domains/federationConfiguration/standard/read | Läsa standardegenskaper för federationskonfiguration för domäner |
| microsoft.directory/entitlementManagement/allProperties/read | Läs alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/identityProtection/allProperties/read | Läs alla resurser i Microsoft Entra ID Protection |
| microsoft.directory/namedLocations/standard/read | Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/policies/standard/read | Läsa grundläggande egenskaper för principer |
| microsoft.directory/policies/owners/read | Läs ägare av principer |
| microsoft.directory/policies/policyAppliedTo/read | Egenskapen Read policies.policyAppliedTo |
| microsoft.directory/conditionalAccessPolicies/standard/read | Läs villkorsstyrd åtkomst för principer |
| microsoft.directory/conditionalAccessPolicies/owners/read | Läs ägarna till principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/standard/read | Läsa grundläggande egenskaper för en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Läs alla resurser i Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Läs alla egenskaper för etableringsloggar |
| microsoft.directory/signInReports/allProperties/read | Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.networkAccess/allEntities/allProperties/read | Läs alla aspekter av Microsoft Entra-nätverksåtkomst |
| microsoft.office365.protectionCenter/allEntities/standard/read | Läsa standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Läs alla egenskaper för attacknyttolaster i Attack Simulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Läs rapporter om attacksimulering, svar och tillhörande utbildning |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Läs alla egenskaper för mallar för attacksimulering i Attack Simulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Tjänstsupportadministratör
Användare med den här rollen kan skapa och hantera supportförfrågningar med Microsoft för Azure- och Microsoft 365-tjänster och visa tjänstinstrumentpanelen och meddelandecentret i Azure-portalen och Administrationscenter för Microsoft 365. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.
Kommentar
Den här rollen hette tidigare tjänstadministratör i Azure-portalen och Administrationscenter för Microsoft 365. Tjänstens supportadministratör bytte namn till det befintliga namnet i Microsoft Graph API och Azure AD PowerShell.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
SharePoint-administratör
Användare med den här rollen har globala behörigheter inom Microsoft Office SharePoint Online, när tjänsten finns, samt möjligheten att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.
Kommentar
I Microsoft Graph API och Azure AD PowerShell får den här rollen namnet SharePoint-tjänstadministratör. I Azure-portalen heter den SharePoint-administratör.
Kommentar
Den här rollen ger även begränsade behörigheter till Microsoft Graph API för Microsoft Intune, vilket möjliggör hantering och konfiguration av principer som är relaterade till SharePoint- och OneDrive-resurser.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Skype för företag administratör
Användare med den här rollen har globala behörigheter inom Microsoft Skype för företag, när tjänsten finns, samt hantera Skype-specifika användarattribut i Microsoft Entra-ID. Dessutom ger den här rollen möjlighet att hantera supportärenden och övervaka tjänstens hälsa samt att få åtkomst till Teams och Skype för företag administrationscenter. Kontot måste också vara licensierat för Teams eller så kan det inte köra Teams PowerShell-cmdletar. Mer information finns i Skype för företag onlineadministratörs- och Teams-licensieringsinformation på Skype för företag tilläggslicensiering.
Kommentar
I Microsoft Graph API och Azure AD PowerShell får den här rollen namnet Lync-tjänstadministratör. I Azure-portalen heter den Skype för företag Administratör.
| Åtgärder | beskrivning |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Teams-administratör
Användare i den här rollen kan hantera alla aspekter av Microsoft Teams-arbetsbelastningen via Administrationscenter för Microsoft Teams & Skype för företag och respektive PowerShell-moduler. Detta omfattar bland annat alla hanteringsverktyg som rör telefoni, meddelanden, möten och själva teamen. Den här rollen ger dessutom möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Hantera alla resurser i Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Skapa åtkomstprincip för flera klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner |
| microsoft.directory/pendingExternalUserProfiles/create | Skapa externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Ta bort externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/standard/read | Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/basic/update | Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/externalUserProfiles/delete | Ta bort externa användarprofiler i den utökade katalogen för Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Läsa standardegenskaper för behörighetsgivningsprinciper |
Teams kommunikationsadministratör
Användare i den här rollen kan hantera aspekter av Microsoft Teams-arbetsbelastningen som rör rösttelefoni & . Detta omfattar hanteringsverktygen för telefonnummertilldelning, röst- och mötesprinciper och fullständig åtkomst till verktygsuppsättningen för samtalsanalys.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Läsa alla data på instrumentpanelen för samtalskvalitet (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Hantera möten, inklusive mötesprinciper, konfigurationer och konferensbroar |
| microsoft.teams/voice/allProperties/allTasks | Hantera röst inklusive samtalsprinciper och telefonnummerinventering och tilldelning |
Supporttekniker för Teams-kommunikation
Användare i den här rollen kan felsöka kommunikationsproblem i Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i administrationscentret för Microsoft Teams & Skype för företag. Användare i den här rollen kan visa fullständig samtalspostinformation för alla inblandade deltagare. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Läsa alla data på instrumentpanelen för samtalskvalitet (CQD) |
Supportspecialist för Teams-kommunikation
Användare i den här rollen kan felsöka kommunikationsproblem i Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i administrationscentret för Microsoft Teams & Skype för företag. Användare i den här rollen kan bara visa användarinformation i anropet för den specifika användare som de har letat upp. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Läsa standardegenskaper för auktoriseringsprincip |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Hantera alla aspekter av Skype för företag Online |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Läsa grundläggande data i instrumentpanelen för samtalskvalitet (CQD) |
Administratör för Teams-enheter
Användare med den här rollen kan hantera Teams-certifierade enheter från administrationscentret för Teams. Med den här rollen kan du visa alla enheter med en snabb överblick, med möjlighet att söka efter och filtrera enheter. Användaren kan kontrollera information om varje enhet, inklusive loggat konto, märke och modell för enheten. Användaren kan ändra inställningarna på enheten och uppdatera programvaruversionerna. Den här rollen beviljar inte behörighet att kontrollera Teams-aktivitet och anropa enhetens kvalitet.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.teams/devices/standard/read | Hantera alla aspekter av Teams-certifierade enheter, inklusive konfigurationsprinciper |
Skapare av klientorganisation
Tilldela rollen Klientskapare till användare som behöver utföra följande uppgifter:
- Skapa både Microsoft Entra- och Azure Active Directory B2C-klientorganisationer även om växlingsknappen för att skapa klientorganisationen är inaktiverad i användarinställningarna
Kommentar
Innehavarskaparna tilldelas rollen Global administratör för de nya klienter som de skapar.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Skapa nya klienter i Microsoft Entra-ID |
Läsare av användningssammanfattningsrapporter
Tilldela rollen Läsare för användningssammanfattningsrapporter till användare som behöver utföra följande uppgifter i Administrationscenter för Microsoft 365:
- Visa användningsrapporter och implementeringspoäng
- Läs organisationsinsikter, men inte personligt identifierbar information (PII) för användare
Den här rollen tillåter endast användare att visa data på organisationsnivå med följande undantag:
- Medlemsanvändare kan visa användarhanteringsdata och inställningar.
- Gästanvändare som tilldelats den här rollen kan inte visa användarhanteringsdata och inställningar.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Läsa aggregerade Office 365-användningsrapporter på klientnivå |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Användaradministratör
Det här är en privilegierad roll. Tilldela rollen Användaradministratör till användare som behöver göra följande:
| Behörighet | Mer information |
|---|---|
| Skapa användare | |
| Uppdatera de flesta användaregenskaper för alla användare, inklusive alla administratörer | Vem kan utföra känsliga åtgärder |
| Uppdatera känsliga egenskaper (inklusive användarens huvudnamn) för vissa användare | Vem kan utföra känsliga åtgärder |
| Inaktivera eller aktivera vissa användare | Vem kan utföra känsliga åtgärder |
| Ta bort eller återställa vissa användare | Vem kan utföra känsliga åtgärder |
| Skapa och hantera användarvyer | |
| Skapa och hantera alla grupper | |
| Tilldela och läsa licenser för alla användare, inklusive alla administratörer | |
| Återställa lösenord | Vem kan återställa lösenord |
| Ogiltigförklara uppdateringstoken | Vem kan återställa lösenord |
| Uppdatera enhetsnycklar (FIDO) | |
| Uppdatera principer för förfallodatum för lösenord | |
| Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365 | |
| Övervaka tjänstens hälsa |
Användare med den här rollen kan inte göra följande:
- Det går inte att hantera MFA.
- Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
- Det går inte att hantera delade postlådor.
Viktigt!
Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration inom och utanför Microsoft Entra-ID. Att ändra lösenordet för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:
- Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats användaradministratörer. Med den här sökvägen kan en användaradministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
- Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
- Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
- Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
- Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Hantera åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för Microsoft Entra-rolltilldelningar |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper. |
| microsoft.directory/accessReviews/definitions.groups/create | Skapa åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/delete | Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper. |
| microsoft.directory/contacts/create | Skapa kontakter |
| microsoft.directory/contacts/delete | Ta bort kontakter |
| microsoft.directory/contacts/basic/update | Uppdatera grundläggande egenskaper för kontakter |
| microsoft.directory/deletedItems.groups/restore | Återställa mjukt borttagna grupper till ursprungligt tillstånd |
| microsoft.directory/deletedItems.users/restore | Återställa mjukt borttagna användare till ursprungligt tillstånd |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering |
| microsoft.directory/groups/assignLicense | Tilldela produktlicenser till grupper för gruppbaserad licensiering |
| microsoft.directory/groups/create | Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/delete | Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för gruppbaserad licensiering |
| microsoft.directory/groups/restore | Återställa grupper från en container med mjuk borttagning |
| microsoft.directory/groups/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/groupType/update | Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/members/update | Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/onPremWriteBack/update | Uppdatera Microsoft Entra-grupper så att de skrivs tillbaka till lokalt med Microsoft Entra Anslut |
| microsoft.directory/groups/owners/update | Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups/settings/update | Uppdatera inställningar för grupper |
| microsoft.directory/groups/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper |
| microsoft.directory/policies/standard/read | Läsa grundläggande egenskaper för principer |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Uppdatera rolltilldelningar för tjänstens huvudnamn |
| microsoft.directory/users/assignLicense | Hantera användarlicenser |
| microsoft.directory/users/create | Lägg till användare |
| microsoft.directory/users/convertExternalToInternalMemberUser | Konvertera extern användare till intern användare |
| microsoft.directory/users/delete | Ta bort användare |
| microsoft.directory/users/disable | Inaktivera användare |
| microsoft.directory/users/enable | Aktivera användare |
| microsoft.directory/users/inviteGuest | Bjud in gästanvändare |
| microsoft.directory/users/invalidateAllRefreshTokens | Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken |
| microsoft.directory/users/reprocessLicenseAssignment | Bearbeta om licenstilldelningar för användare |
| microsoft.directory/users/restore | Återställa borttagna användare |
| microsoft.directory/users/basic/update | Uppdatera grundläggande egenskaper för användare |
| microsoft.directory/users/manager/update | Uppdateringshanteraren för användare |
| microsoft.directory/users/password/update | Återställa lösenord för alla användare |
| microsoft.directory/users/photo/update | Uppdatera foto av användare |
| microsoft.directory/users/sponsors/update | Uppdatera sponsorer för användare |
| microsoft.directory/users/usageLocation/update | Uppdatera användarnas användningsplats |
| microsoft.directory/users/userPrincipalName/update | Uppdatera användarens huvudnamn |
| microsoft.azure.serviceHealth/allEntities/allTasks | Läsa och konfigurera Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Administratör för virtuella besök
Användare med den här rollen kan utföra följande uppgifter:
- Hantera och konfigurera alla aspekter av virtuella besök i bokningar i Administrationscenter för Microsoft 365 och i Teams EHR-anslutningsapp
- Visa användningsrapporter för virtuella besök i administrationscentret för Teams, Administrationscenter för Microsoft 365, Infrastrukturresurser och Power BI
- Visa funktioner och inställningar i Administrationscenter för Microsoft 365, men kan inte redigera några inställningar
Virtuella besök är ett enkelt sätt att schemalägga och hantera online- och videomöten för personal och deltagare. Användningsrapportering kan till exempel visa hur sändning av SMS före avtalade tider kan minska antalet personer som inte dyker upp för avtalade tider.
| Åtgärder | beskrivning |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Viva-måladministratör
Tilldela rollen Viva-måladministratör till användare som behöver utföra följande uppgifter:
- Hantera och konfigurera alla aspekter av Microsoft Viva Goals-programmet
- Konfigurera administratörsinställningar för Microsoft Viva Goals
- Läs information om Microsoft Entra-klientorganisationen
- Övervaka Microsoft 365-tjänstens hälsa
- Skapa och hantera Microsoft 365-tjänstbegäranden
Mer information finns i Roller och behörigheter i Viva-mål och Introduktion till Microsoft Viva-mål.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Viva-mål |
Viva Pulse-administratör
Tilldela Rollen Viva Pulse-administratör till användare som behöver utföra följande uppgifter:
- Läsa och konfigurera alla inställningar för Viva Pulse
- Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
- Läsa och konfigurera Azure Service Health
- Skapa och hantera Azure-supportärenden
- Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
- Läsa användningsrapporter i Administrationscenter för Microsoft 365
Mer information finns i Tilldela en Viva Pulse-administratör i Administrationscenter för Microsoft 365.
| Åtgärder | beskrivning |
|---|---|
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Hantera alla aspekter av Microsoft Viva Pulse |
Windows 365-administratör
Användare med den här rollen har globala behörigheter för Windows 365-resurser när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper.
Den här rollen kan skapa och hantera säkerhetsgrupper, men har inte administratörsbehörighet över Microsoft 365-grupper. Det innebär att administratörer inte kan uppdatera ägare eller medlemskap i Microsoft 365-grupper i organisationen. De kan dock hantera den Microsoft 365-grupp som de skapar, vilket är en del av deras slutanvändarbehörigheter. Därför räknas alla Microsoft 365-grupper (inte säkerhetsgrupper) som de skapar mot deras kvot på 250.
Tilldela rollen Windows 365-administratör till användare som behöver utföra följande uppgifter:
- Hantera Windows 365 Molnbaserad dator i Microsoft Intune
- Registrera och hantera enheter i Microsoft Entra-ID, inklusive tilldelning av användare och principer
- Skapa och hantera säkerhetsgrupper, men inte rolltilldelningsbara grupper
- Visa grundläggande egenskaper i Administrationscenter för Microsoft 365
- Läsa användningsrapporter i Administrationscenter för Microsoft 365
- Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Ta bort enheter permanent, som inte längre kan återställas |
| microsoft.directory/deletedItems.devices/restore | Återställa mjuka borttagna enheter till ursprungligt tillstånd |
| microsoft.directory/devices/create | Skapa enheter (registrera i Microsoft Entra-ID) |
| microsoft.directory/devices/delete | Ta bort enheter från Microsoft Entra-ID |
| microsoft.directory/devices/disable | Inaktivera enheter i Microsoft Entra-ID |
| microsoft.directory/devices/enable | Aktivera enheter i Microsoft Entra-ID |
| microsoft.directory/devices/basic/update | Uppdatera grundläggande egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet1/update | Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter |
| microsoft.directory/devices/extensionAttributeSet2/update | Uppdatera tilläggetAttribute6 till egenskaperna extensionAttribute10 på enheter |
| microsoft.directory/devices/extensionAttributeSet3/update | Uppdatera tilläggetAttribute11 till egenskaperna extensionAttribute15 på enheter |
| microsoft.directory/devices/registeredOwners/update | Uppdatera registrerade ägare av enheter |
| microsoft.directory/devices/registeredUsers/update | Uppdatera registrerade användare av enheter |
| microsoft.directory/groups.security/create | Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/delete | Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/basic/update | Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/classification/update | Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/members/update | Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/owners/update | Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.security/visibility/update | Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/deviceManagementPolicies/standard/read | Läsa standardegenskaper för programprinciper för enhetshantering |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Läsa standardegenskaper för enhetsregistreringsprinciper |
| microsoft.azure.supportTickets/allEntities/allTasks | Skapa och hantera Azure-supportärenden |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Hantera alla aspekter av Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
Distributionsadministratör för Windows Update
Användare i den här rollen kan skapa och hantera alla aspekter av Windows Update-distributioner via distributionstjänsten Windows Update för företag. Distributionstjänsten gör det möjligt för användare att definiera inställningar för när och hur uppdateringar distribueras och ange vilka uppdateringar som erbjuds till grupper av enheter i deras klientorganisation. Det gör det också möjligt för användare att övervaka uppdateringsstatusen.
| Åtgärder | beskrivning |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Läsa och konfigurera alla aspekter av Windows Update Service |
Yammer-administratör
Tilldela Yammer-administratörsrollen till användare som behöver utföra följande uppgifter:
- Hantera alla aspekter av Yammer
- Skapa, hantera och återställa Microsoft 365-grupper, men inte rolltilldelningsbara grupper
- Visa dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
- Läsa användningsrapporter i Administrationscenter för Microsoft 365
- Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
- Visa meddelanden i Meddelandecenter, men inte säkerhetsmeddelanden
- Visa hälsotillstånd för tjänst
| Åtgärder | beskrivning |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/create | Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/delete | Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/restore | Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/basic/update | Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/members/update | Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.directory/groups.unified/owners/update | Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper |
| microsoft.office365.messageCenter/messages/read | Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden |
| microsoft.office365.network/performance/allProperties/read | Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Skapa och hantera Microsoft 365-tjänstbegäranden |
| microsoft.office365.usageReports/allEntities/allProperties/read | Läs användningsrapporter för Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Hantera alla aspekter av Yammer |
Inaktuella roller
Följande roller bör inte användas. De har blivit inaktuella och kommer att tas bort från Microsoft Entra-ID i framtiden.
- AdHoc-licensadministratör
- Enhetsanslutning
- Enhetshanteraren
- Enhetsanvändare
- E-postverifierad användarskapare
- Postlådeadministratör
- Anslut till arbetsplatsenhet
Roller som inte visas i portalen
Alla roller som returneras av PowerShell eller MS Graph API visas inte i Azure-portalen. I följande tabell ordnas dessa skillnader.
| API-namn | Namn på Azure-portalen | Kommentar |
|---|---|---|
| Enhetsanslutning | Inaktuell | Dokumentation om inaktuella roller |
| Enhetshanteraren | Inaktuell | Dokumentation om inaktuella roller |
| Enhetsanvändare | Inaktuell | Dokumentation om inaktuella roller |
| Katalogsynkroniseringskonton | Visas inte eftersom den inte ska användas | Dokumentation om katalogsynkroniseringskonton |
| Gästanvändare | Visas inte eftersom den inte kan användas | NA |
| Support för partnernivå 1 | Visas inte eftersom den inte ska användas | Supportdokumentation för partnernivå 1 |
| Support för partnernivå 2 | Visas inte eftersom den inte ska användas | Supportdokumentation för Partnernivå 2 |
| Begränsad gästanvändare | Visas inte eftersom den inte kan användas | NA |
| User | Visas inte eftersom den inte kan användas | NA |
| Anslut till arbetsplatsenhet | Inaktuell | Dokumentation om inaktuella roller |
Nästa steg
Feedback
Skicka och visa feedback för