Předdefinované role Microsoft Entra
V Microsoft Entra ID, pokud jiný správce nebo jiný správce potřebuje spravovat prostředky Microsoft Entra, přiřadíte jim roli Microsoft Entra, která poskytuje oprávnění, která potřebují. Můžete například přiřadit role, které umožňují přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.
Tento článek obsahuje seznam předdefinovaných rolí Microsoft Entra, které můžete přiřadit k povolení správy prostředků Microsoft Entra. Informace o přiřazování rolí najdete zde: Přiřazení rolí Microsoft Entra uživatelům. Pokud hledáte role pro správu prostředků Azure, podívejte se na předdefinované role Azure.
Všechny role
Role | Popis | ID šablony |
---|---|---|
Správce AI | Spravujte všechny aspekty podnikových služeb Microsoft 365 Copilot a AI v Microsoftu 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Správce aplikace | Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Vývojář aplikace | Může vytvářet registrace aplikací nezávisle na nastavení Uživatelé mohou registrovat aplikace. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor datové části útoku | Může vytvořit datové části útoku, které může správce zahájit později. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Správce simulace útoku | Může vytvářet a spravovat všechny aspekty kampaní simulace útoků. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Správce přiřazení atributů | Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Čtenář přiřazení atributů | Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Správce definic atributů | Definujte a spravujte definici vlastních atributů zabezpečení. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Čtečka definic atributů | Přečtěte si definici vlastních atributů zabezpečení. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Správce protokolu atributů | Přečtěte si protokoly auditu a nakonfigurujte nastavení diagnostiky pro události související s vlastními atributy zabezpečení. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Čtenář protokolu atributů | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
správce zřizování atributů |
Přidejte nebo odeberte vlastní atributy zabezpečení ve zdroji pro mapování cílových atributů. |
ecb2c6bf-0ab6-418e-bd87-7986f8d63bbe |
čtečky zřizování atributů |
Čtení vlastních atributů zabezpečení definovaných u uživatelských objektů | 422218e4-db15-4ef9-bbe0-8afb41546d79 |
Správce ověřování | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele bez oprávnění správce. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Správce rozšiřitelnosti ověřování | Přizpůsobte si možnosti přihlašování a registrace uživatelů vytvořením a správou vlastních rozšíření ověřování. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Správce zásad ověřování | Může vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta, zásady ochrany hesel a ověřitelné přihlašovací údaje. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Správce Azure DevOps | Může spravovat zásady a nastavení Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Správce služby Azure Information Protection | Může spravovat všechny aspekty produktu Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
Správce sady klíčů B2C IEF | Může spravovat tajné kódy pro federaci a šifrování v rozhraní IEF (Identity Experience Framework). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Správce zásad B2C IEF | Může vytvářet a spravovat zásady architektury důvěryhodnosti v rozhraní IEF (Identity Experience Framework). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Správce fakturace | Může provádět běžné úkoly související s fakturací, třeba aktualizovat platební údaje. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Správce Cloud App Security | Může spravovat všechny aspekty produktu Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Správce cloudové aplikace | Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací, kromě proxy aplikací. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Správce cloudových zařízení | Omezený přístup ke správě zařízení v Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Správce dodržování předpisů | Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Microsoft Entra ID a Microsoftu 365. | 17315797-102d-40b4-93e0-432062caca18 |
Správce dat dodržování předpisů | Vytváří a spravuje obsah dodržování předpisů. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Správce podmíněného přístupu | Může spravovat možnosti podmíněného přístupu. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Schvalovatel přístupu Customer LockBoxu | Může schválit žádosti o podporu Microsoftu pro přístup k datům organizace zákazníka. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Správce Desktop Analytics | Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Čtenáři adresářů | Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. | 88d8e3e3-8f55-4a1e-953a-9b9898b88876b |
Účty synchronizace adresářů | Používá se pouze služba Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Zapisovače adresářů | Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Správce názvu domény | Může spravovat názvy domén v cloudu a v místním prostředí. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Správce Dynamics 365 | Může spravovat všechny aspekty produktu Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Správce Dynamics 365 Business Central | Přístup k prostředím Dynamics 365 Business Central a provádění všech úloh správy | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Správce Edge | Spravujte všechny aspekty Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Správce Exchange | Může spravovat všechny aspekty produktu Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Správce příjemce Exchange | Může vytvářet nebo aktualizovat příjemce Exchange Online v organizaci Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Správce toku externího ID uživatele | Může vytvářet a spravovat všechny aspekty toků uživatelů. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Správce atributů toku externího ID uživatele | Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Externí správce zprostředkovatele identity | Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Správce prostředků infrastruktury | Může spravovat všechny aspekty produktů Fabric a Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Globální správce | Může spravovat všechny aspekty ID Microsoft Entra a služby Microsoft, které používají identity Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Globální čtenář | Může číst všechno, co může globální správce, ale nic neaktualizovat. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Globální správce zabezpečeného přístupu | Vytvářejte a spravujte všechny aspekty Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup, včetně správy přístupu k veřejným a privátním koncovým bodům. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Správce skupin | Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Pozvaný host | Může zvát uživatele typu host bez ohledu na nastavení, jestli členové můžou zvát hosty. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Správce helpdesku | Může resetovat hesla uživatelů, kteří nejsou správci, a správců technické podpory. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Správce hybridní identity | Spravujte Službu Active Directory pro zřizování cloudu Microsoft Entra, Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Správce zásad správného řízení identit | Správa přístupu pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Správce přehledů | Má přístup správce v aplikaci Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Analytik přehledů | Získejte přístup k analytickým možnostem v Microsoft Viva Insights a spouštění vlastních dotazů. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Přehledy obchodního vedoucího programu | Prostřednictvím aplikace Microsoft 365 Insights můžete zobrazit a sdílet řídicí panely a přehledy. | 31e939ad-9672-4796-9c2e-873181342d2d |
Správce Intune | Může spravovat všechny aspekty produktu Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Správce Kaizala | Může spravovat nastavení pro Microsfot Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Správce znalostí | Může konfigurovat znalosti, učení a další inteligentní funkce. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Knowledge Manager | Může organizovat, vytvářet, spravovat a propagovat témata a znalosti. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Správce licencí | Může spravovat licence produktů pro uživatele a skupiny. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Správce pracovních postupů životního cyklu | Umožňuje vytvářet a spravovat všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v MICROSOFT Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Čtečka ochrany osobních údajů v Centru zpráv | Může číst zprávy zabezpečení a aktualizace jenom v Centru zpráv Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Čtečka centra zpráv | Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c05c1b |
Správce migrace Microsoftu 365 | Pomocí Migration Manageru proveďte všechny funkce migrace k migraci obsahu do Microsoftu 365. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Místní správce zařízení připojený k Microsoft Entra | Uživatelé přiřazení k této roli se přidají do místní skupiny administrators na zařízeních připojených k Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Správce záruky hardwaru společnosti Microsoft | Vytvářejte a spravujte všechny aspekty nároků na záruky a nároky na hardware vyrobený microsoftem, jako je Surface a HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Specialista microsoftu na záruku hardwaru | Vytvářejte a přečtěte si nároky na záruku pro hardware, který vyrábí Microsoft, jako je Surface a HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Správce moderního obchodování | Může spravovat komerční nákupy pro společnost, oddělení nebo tým. | d24aef57-1500-4070-84db-2666f29cf9666 |
Správce sítě | Může spravovat síťová umístění a kontrolovat přehledy návrhu podnikové sítě pro aplikace Microsoft 365 Software jako služba. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Správce aplikací Office | Může spravovat aplikace Office cloudové služby, včetně správy zásad a nastavení, a spravovat možnost výběru, zrušení výběru a publikování obsahu funkcí "co je nového" na zařízeních koncových uživatelů. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Správce brandingu organizace | Spravujte všechny aspekty brandingu organizace v tenantovi. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Schvalovatel zpráv organizace | Před odesláním uživatelům zkontrolujte, schvalte nebo odmítněte nové zprávy organizace pro doručení v Centrum pro správu Microsoftu 365. | e48398e2-f4bb-4074-8f31-4586725e205b |
Zapisovatel zpráv organizace | Pište, publikujte, spravujte a kontrolujte zprávy organizace pro koncové uživatele prostřednictvím produktů Microsoftu. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Podpora partnerské vrstvy 1 | Nepoužívejte - není určeno pro obecné použití. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Podpora partnerské vrstvy 2 | Nepoužívejte - není určeno pro obecné použití. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Správce hesel | Může resetovat hesla pro správce a správce hesel. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Správce správy oprávnění | Správa všech aspektů Správa oprávnění Microsoft Entra | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Správce Power Platform | Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, Power Apps a Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Správce tiskárny | Může spravovat všechny aspekty tiskáren a konektorů tiskárny. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Technik tiskárny | Může zaregistrovat a zrušit registraci tiskáren a aktualizovat stav tiskárny. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Správce privilegovaného ověřování | Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Správce privilegovaných rolí | Může spravovat přiřazení rolí v MICROSOFT Entra ID a všechny aspekty Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Čtenář sestav | Může číst sestavy přihlášení a auditu. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Správce vyhledávání | Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Editor vyhledávání | Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, plán prostorového uspořádání. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Správce zabezpečení | Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Operátor zabezpečení | Vytváří a spravuje události zabezpečení. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Čtenář zabezpečení | Může číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Správce podpory služeb | Může číst informace o stavu služeb a spravovat lístky podpory. | f023fd81-a637-4b56-95fd-791ac0226033 |
Správce SharePointu | Může spravovat všechny aspekty služby SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Správce služby SharePoint Embedded | Správa všech aspektů kontejnerů Služby SharePoint Embedded | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
správce Skype pro firmy | Může spravovat všechny aspekty Skype pro firmy produktu. | 75941009-915a-4869-abe7-691bff18279e |
Správce Teams | Může spravovat službu Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Správce komunikace Teams | Může spravovat funkce volání a schůzek ve službě Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Technik podpory komunikace v Teams | Může řešit problémy s komunikací v Teams pomocí pokročilých nástrojů. | f70938a0-fc10-4177-9e90-2178f8765737 |
Specialista na podporu komunikace v Teams | Může řešit problémy s komunikací v teams pomocí základních nástrojů. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Správce zařízení Teams | Může provádět úlohy související se správou na certifikovaných zařízeních Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Správce telefonních služeb Teams | Spravujte funkce hlasového a telefonního telefonu a vyřešte problémy s komunikací ve službě Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
Tvůrce tenanta | Vytvořte nové tenanty Microsoft Entra nebo Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Čtenář souhrnných sestav využití | Přečtěte si sestavy využití a skóre přijetí, ale nemáte přístup k podrobnostem uživatele. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Správce úspěchu uživatelského prostředí | Zobrazte si zpětnou vazbu k produktům, výsledky průzkumu a sestavy a najděte si školení a komunikační příležitosti. | 27460883-1df1-4691-b032-3b79643e5e63 |
Správce virtuálních návštěv | Spravujte a sdílejte informace o virtuálních návštěvách a metriky z center pro správu nebo z aplikace Virtuální návštěvy. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals Administrator | Správa a konfigurace všech aspektů cílů Microsoft Viva | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse Administrator | Může spravovat všechna nastavení pro aplikaci Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Správce Windows 365 | Může zřizovat a spravovat všechny aspekty cloudových počítačů. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
správce nasazení služba Windows Update | Může vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Správce Yammeru | Umožňuje spravovat všechny aspekty služby Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Správce AI
Přiřaďte roli správce AI uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Microsoft 365 Copilotu
- Správa podnikových služeb, rozšiřitelnosti a zkopírovaných agentů AI ze stránky Integrovaných aplikací v Centrum pro správu Microsoftu 365
- Schválení a publikování obchodních agentů copilotu
- Povolit uživatelům instalaci aplikace nebo instalaci aplikace pro uživatele v organizaci, pokud aplikace nevyžaduje oprávnění
- Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365
- Zobrazení sestav využití, přehledů o přijetí a přehledů organizace
- Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Vytvoření a správa všech nastavení pro Microsoft 365 Copilot |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete souhlasit s oprávněními aplikace pro jiné aplikace (například jiné aplikace Microsoftu, aplikace třetích stran nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, například správce privilegovaných rolí.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.
Vývojář aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když nastavení Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.
Autor datové části útoku
Uživatelé v této roli mohou vytvářet datové části útoku, ale ve skutečnosti je nespustí ani neplánují. Datové části útoku jsou pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.
Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Čtení sestav simulace útoku, odpovědí a přidruženého trénování |
Správce simulace útoku
Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontrolu výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.
Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Čtení sestav simulace útoku, odpovědí a přidruženého trénování |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Vytváření a správa šablon simulace útoků v simulátoru útoku |
Správce přiřazení atributů
Uživatelé s touto rolí můžou přiřadit a odebrat vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra, jako jsou uživatelé, instanční objekty a zařízení.
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
microsoft.directory/devices/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro zařízení |
microsoft.directory/devices/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro zařízení |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro instanční objekty |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro instanční objekty |
microsoft.directory/users/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro uživatele |
microsoft.directory/users/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro uživatele |
Čtenář přiřazení atributů
Uživatelé s touto rolí mohou číst klíče a hodnoty vlastních atributů zabezpečení pro podporované objekty Microsoft Entra.
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
microsoft.directory/devices/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro zařízení |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro instanční objekty |
microsoft.directory/users/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro uživatele |
Správce definic atributů
Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit k podporovaným objektům Microsoft Entra. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Správa všech aspektů sad atributů |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Správa všech aspektů definic vlastních atributů zabezpečení |
Čtečka definic atributů
Uživatelé s touto rolí mohou číst definici vlastních atributů zabezpečení.
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
Správce protokolu atributů
Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:
- Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
- Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
- Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
Uživatelé s touto rolí nemohou číst protokoly auditu pro jiné události.
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Konfigurace všech aspektů nastavení diagnostiky vlastních atributů zabezpečení |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení |
Čtenář protokolu atributů
Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:
- Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
- Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
Uživatelé s touto rolí nemohou provádět následující úlohy:
- Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
- Čtení protokolů auditu pro jiné události
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení |
Správce zřizování atributů
Uživatelé přiřazení této role mohou při konfiguraci toků zřizování a synchronizace uživatelů v Microsoft Entra provádět následující operace:
- Mapování atributů čtení a zápisu pro vlastní atributy zabezpečení při zřizování v aplikaci
- Čtení a zápis protokolů zřizování a auditování pro vlastní atributy zabezpečení při zřizování v aplikaci
Důležité
Tato role nemá možnost vytvářet vlastní sady atributů zabezpečení ani přímo přiřazovat nebo aktualizovat hodnoty vlastních atributů zabezpečení pro objekt uživatele. Tato role může konfigurovat pouze tok vlastních atributů zabezpečení v aplikaci zřizování. Další informace najdete v tématu Zřízení vlastních atributů zabezpečení ze zdrojů hr (Preview).
Čtenář zřizování atributů
Uživatelé přiřazení této role mohou při práci s toky zřizování a synchronizace uživatelů v Microsoft Entra provádět následující operace:
- Čtení mapování atributů pro vlastní atributy zabezpečení při zřizování v aplikaci
- Čtení protokolů zřizování a auditování pro vlastní atributy zabezpečení při zřizování v aplikaci
Další informace najdete v tématu Zřízení vlastních atributů zabezpečení ze zdrojů hr (Preview).
Akce | Popis |
---|---|
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read | Čtení všech vlastních atributů zabezpečení ve schématu synchronizace |
Správce ověřování
Jedná se o privilegovanou roli. Přiřaďte roli Správce ověřování uživatelům, kteří potřebují:
- Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro jiné správce a některé role. Seznam rolí, které může správce ověřování číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
- Vyžadovat, aby se uživatelé, kteří nejsou správci nebo přiřadili k některým rolím, znovu zaregistrovali stávající přihlašovací údaje bez hesla (například MFA nebo FIDO), a také můžou odvolat vícefaktorové ověřování na zařízení, které při příštím přihlášení vyzve vícefaktorové ověřování.
- Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
- U některých uživatelů proveďte citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
- Nejde spravovat hardwarové tokeny OATH.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | Yes | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Správce zásad ověřování | No | Yes | Yes | Yes | Yes | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům ověřování. Prostřednictvím této cesty může správce ověřování předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Správce rozšiřitelnosti ověřování
Jedná se o privilegovanou roli. Přiřaďte roli Správce rozšiřitelnosti ověřování uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření a správa všech aspektů vlastních rozšíření ověřování
Uživatelé s touto rolí nemohou provádět následující akce:
- Vlastní rozšíření ověřování nelze přiřadit aplikacím za účelem úprav prostředí ověřování a nelze udělit souhlas s oprávněními aplikace nebo vytvářet registrace aplikací přidružených k rozšíření vlastního ověřování. Místo toho musíte použít role Správce aplikací, Vývojář aplikací nebo Správce cloudových aplikací.
Rozšíření vlastního ověřování je koncový bod rozhraní API vytvořený vývojářem pro události ověřování a je zaregistrovaný v Microsoft Entra ID. Správci aplikací a vlastníci aplikací můžou pomocí vlastních rozšíření ověřování přizpůsobit prostředí ověřování aplikace, jako je přihlášení a registrace nebo resetování hesla.
Akce | Popis |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Vytváření a správa vlastních rozšíření ověřování |
Správce zásad ověřování
Přiřaďte roli Správce zásad ověřování uživatelům, kteří potřebují:
- Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta a zásady ochrany hesel, které určují, které metody můžou jednotliví uživatelé zaregistrovat a používat.
- Spravovat nastavení ochrany heslem: konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
- Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
- Vytvořte a spravujte ověřitelné přihlašovací údaje.
- Vytváření a správa lístků podpora Azure
Uživatelé s touto rolí nemohou provádět následující akce:
- Nelze aktualizovat citlivé vlastnosti. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Uživatele nelze odstranit ani obnovit. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Nejde spravovat hardwarové tokeny OATH.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | Yes | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Správce zásad ověřování | No | Yes | Yes | Yes | Yes | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Akce | Popis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/organization/strongAuthentication/allTasks | Správa všech aspektů silných vlastností ověřování organizace |
microsoft.directory/userCredentialPolicies/basic/update | Aktualizace základních zásad pro uživatele |
microsoft.directory/userCredentialPolicies/create | Vytvoření zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/delete | Odstranění zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/owners/read | Čtení vlastníků zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/owners/update | Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Read policy.appliesTo navigation link |
microsoft.directory/userCredentialPolicies/standard/read | Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Update policy.isOrganizationDefault – vlastnost |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Čtení ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizace ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Čtení ověřitelné karty přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odvolání ověřitelné karty přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Vytvoření ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/create | Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/delete | Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů |
Správce Azure DevOps
Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které jsou podporovány ID Microsoft Entra. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporována ID Microsoft Entra společnosti. Uživatelé v této roli navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například správci kolekcí projektů) v žádné organizaci Azure DevOps, kterou podporuje organizace Microsoft Entra společnosti.
Akce | Popis |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Čtení a konfigurace Azure DevOps |
Správce služby Azure Information Protection
Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky zásad služby Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění v Microsoft Entra ID Protection, Privileged Identity Management, Monitorování stavu služeb Microsoft 365, portálu Microsoft 365 Defender nebo Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů služby Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce sady klíčů IEF B2C
Jedná se o privilegovanou roli. Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování a dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data vypršení platnosti i po jeho vytvoření.
Důležité
Jedná se o citlivou roli. Role správce sady klíčů by se měla pečlivě auditovat a přiřazovat opatrně během předprodukčního a produkčního prostředí.
Akce | Popis |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Čtení a konfigurace sad klíčů v Azure Active Directory B2C |
Správce zásad IEF B2C
Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad architekturou prostředí identit v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, posílat data uživatelů do externích systémů, včetně úplné migrace, a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče ani upravit tajné kódy používané pro federaci v organizaci.
Důležité
Správce zásad B2 IEF je vysoce citlivá role, která by měla být přiřazena velmi omezeným způsobem pro organizace v produkčním prostředí. Aktivity těchto uživatelů by měly být pečlivě auditovány, zejména pro organizace v produkčním prostředí.
Akce | Popis |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Čtení a konfigurace vlastních zásad v Azure Active Directory B2C |
Správce fakturace
Provádí nákupy, spravuje předplatná, spravuje lístky podpory a monitoruje stav služby.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Správa všech aspektů fakturace Office 365 |
microsoft.directory/organization/basic/update | Aktualizace základních vlastností v organizaci |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Cloud App Security
Uživatelé s touto rolí mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defenderu for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.
Akce | Popis |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce cloudové aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete souhlasit s oprávněními aplikace pro jiné aplikace (například jiné aplikace Microsoftu, aplikace třetích stran nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, například správce privilegovaných rolí.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.
Správce cloudových zařízení
Jedná se o privilegovanou roli. Uživatelé v této roli můžou na webu Azure Portal povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst klíče BitLockeru s Windows 10 (pokud existují). Role neuděluje oprávnění ke správě dalších vlastností v zařízení.
Správce dodržování předpisů
Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazovaní můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál pro dodržování předpisů Microsoft Purview | Ochrana a správa dat vaší organizace napříč službami Microsoftu 365 Správa upozornění dodržování předpisů |
Microsoft Purview Compliance Manager | Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace |
Portál Microsoft 365 Defender | Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender. |
Intune | Zobrazení všech dat auditu Intune |
Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat |
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů Správce dodržování předpisů Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce dat dodržování předpisů
Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v Centru pro správu Exchange, Správci dodržování předpisů a v Centru pro správu Teams a Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi správcem dodržování předpisů a správcem dat dodržování předpisů najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů microsoft Purview.
V | Může to udělat |
---|---|
Portál pro dodržování předpisů Microsoft Purview | Monitorování zásad souvisejících s dodržováním předpisů napříč službami Microsoftu 365 Správa upozornění dodržování předpisů |
Microsoft Purview Compliance Manager | Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace |
Portál Microsoft 365 Defender | Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dat dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender. |
Intune | Zobrazení všech dat auditu Intune |
Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat |
Akce | Popis |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů služby Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps |
microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů Správce dodržování předpisů Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce podmíněného přístupu
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu Microsoft Entra.
Schvalovatel přístupu Customer LockBoxu
Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Dostanou e-mailová oznámení o žádostech Customer Lockboxu a můžou schválit a odepřít žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla uživatelů přiřazených k této roli můžou resetovat jenom globální správci.
Akce | Popis |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Správa všech aspektů Customer Lockboxu |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Desktop Analytics
Uživatelé v této roli mohou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazení inventáře prostředků, vytvoření plánů nasazení a zobrazení stavu nasazení a stavu.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Správa všech aspektů Desktop Analytics |
Čtenáři adresářů
Uživatelé v této roli mohou číst základní informace o adresáři. Tuto roli byste měli použít pro:
- Udělení konkrétní sady přístupů pro čtení uživatelů typu host místo udělení všem uživatelům typu host.
- Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k Centru pro správu Microsoft Entra, pokud je možnost Omezit přístup k Centru pro správu Microsoft Entra nastavená na Ano.
- Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možnost.
Akce | Popis |
---|---|
microsoft.directory/administrativeUnits/members/read | Čtení členů jednotek pro správu |
microsoft.directory/administrativeUnits/standard/read | Čtení základních vlastností jednotek pro správu |
microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
microsoft.directory/applications/owners/read | Čtení vlastníků aplikací |
microsoft.directory/applications/policies/read | Čtení zásad aplikací |
microsoft.directory/applications/standard/read | Čtení standardních vlastností aplikací |
microsoft.directory/contacts/memberOf/read | Čtení členství ve skupině pro všechny kontakty v Microsoft Entra ID |
microsoft.directory/contacts/standard/read | Čtení základních vlastností kontaktů v MICROSOFT Entra ID |
microsoft.directory/contracts/standard/read | Čtení základních vlastností u kontraktů partnerů |
microsoft.directory/devices/memberOf/read | Čtení členství zařízení |
microsoft.directory/devices/registeredOwners/read | Čtení registrovaných vlastníků zařízení |
microsoft.directory/devices/registeredUsers/read | Čtení registrovaných uživatelů zařízení |
microsoft.directory/devices/standard/read | Čtení základních vlastností na zařízeních |
microsoft.directory/directoryRoles/eligibleMembers/read | Přečtěte si oprávněné členy rolí Microsoft Entra. |
microsoft.directory/directoryRoles/members/read | Čtení všech členů rolí Microsoft Entra |
microsoft.directory/directoryRoles/standard/read | Čtení základních vlastností rolí Microsoft Entra |
microsoft.directory/domains/standard/read | Čtení základních vlastností v doménách |
microsoft.directory/groups/appRoleAssignments/read | Čtení přiřazení rolí aplikace skupin |
microsoft.directory/groupSettings/standard/read | Čtení základních vlastností v nastavení skupiny |
microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností v šablonách nastavení skupin |
microsoft.directory/groups/memberOf/read | Přečtěte si vlastnost memberOf ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení rolí. |
microsoft.directory/groups/members/read | Čtení členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/owners/read | Čtení vlastníků skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/settings/read | Čtení nastavení skupin |
microsoft.directory/groups/standard/read | Čtení standardních vlastností skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/oAuth2PermissionGrants/standard/read | Čtení základních vlastností u udělení oprávnění OAuth 2.0 |
microsoft.directory/organization/standard/read | Čtení základních vlastností v organizaci |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Čtení důvěryhodných certifikačních autorit pro ověřování bez hesla |
microsoft.directory/roleAssignments/standard/read | Čtení základních vlastností přiřazení rolí |
microsoft.directory/roleDefinitions/standard/read | Čtení základních vlastností definic rolí |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Čtení přiřazení rolí instančního objektu |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených instančním objektům |
microsoft.directory/servicePrincipals/memberOf/read | Čtení členství ve skupinách v instančních objektech |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u instančních objektů |
microsoft.directory/servicePrincipals/ownedObjects/read | Čtení vlastněných objektů instančních objektů |
microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků instančních objektů |
microsoft.directory/servicePrincipals/policies/read | Čtení zásad instančních objektů |
microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností instančních objektů |
microsoft.directory/subscribedSkus/standard/read | Čtení základních vlastností předplatných |
microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
microsoft.directory/users/deviceForResourceAccount/read | Čtení zařízeníForResourceAccount uživatelů |
microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
microsoft.directory/users/invitedBy/read | Přečtěte si uživatele, který pozval externího uživatele do tenanta. |
microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
microsoft.directory/users/manager/read | Číst nadřízený uživatelů |
microsoft.directory/users/memberOf/read | Čtení členství ve skupinách uživatelů |
microsoft.directory/users/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u uživatelů |
microsoft.directory/users/ownedDevices/read | Čtení vlastněných zařízení uživatelů |
microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu |
microsoft.directory/users/sponzors/read | Přečíst sponzory uživatelů |
microsoft.directory/users/standard/read | Čtení základníchvlastnostíchch |
Účty synchronizace adresářů
Nepoužívat. Tato role se automaticky přiřadí službě Microsoft Entra Connect a není určena ani podporována pro jakékoli jiné použití.
Akce | Popis |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Čtení a správa objektů za účelem povolení synchronizace místních adresářů |
Zapisovače adresářů
Jedná se o privilegovanou roli. Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.
Správce názvu domény
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Mohou také číst informace o adresáři o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V případě místních prostředí můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružené uživatele byly vždy ověřeny místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel prostřednictvím jednotného přihlašování. Nastavení federace je potřeba synchronizovat přes Microsoft Entra Connect, takže uživatelé mají také oprávnění ke správě služby Microsoft Entra Connect.
Správce Dynamics 365
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služby ke správě vašeho tenanta.
Poznámka:
V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Dynamics 365. Na webu Azure Portal se jmenuje Správce Dynamics 365.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Dynamics 365 Business Central
Přiřaďte roli Správce Dynamics 365 Business Central uživatelům, kteří potřebují provádět následující úlohy:
- Přístup k prostředí Dynamics 365 Business Central
- Provádění všech úloh správy v prostředích
- Správa životního cyklu prostředí zákazníka
- Dohled nad rozšířeními nainstalovanými v prostředích
- Řízení upgradů prostředí
- Export dat prostředí
- Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365
Tato role neposkytuje žádná oprávnění pro ostatní produkty Dynamics 365.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/domains/standard/read | Čtení základních vlastností v doménách |
microsoft.directory/organization/standard/read | Čtení základních vlastností v organizaci |
microsoft.directory/subscribedSkus/standard/read | Čtení základních vlastností předplatných |
microsoft.directory/users/standard/read | Čtení základníchvlastnostíchch |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Správa všech aspektů Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Edge
Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů vyžadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace
Akce | Popis |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Správa všech aspektů Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Exchange
Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Exchange. Na webu Azure Portal se jmenuje Správce Exchange. V Centru pro správu Exchange se jmenuje správce Exchange Online.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Vytvoření a správa zásad ochrany Exchange Online ve službě Microsoft 365 Backup |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Čtení a konfigurace relace obnovení pro Exchange Online ve službě Microsoft 365 Backup |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Správa všech bodů obnovení přidružených k vybraným poštovním schránkám Exchange Online v zálohování M365 |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Správa poštovních schránek přidaných do zásad ochrany Exchange Online ve službě Microsoft 365 Backup |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Správa poštovních schránek přidaných do relace obnovení pro Exchange Online ve službě Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.office365.exchange/allEntities/basic/allTasks | Správa všech aspektů Exchange Online |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce příjemce Exchange
Uživatelé s touto rolí mají přístup ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchangi Online. Další informace naleznete v tématu Příjemci na serveru Exchange Server.
Akce | Popis |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Správa všech úkolů souvisejících s migrací příjemců v Exchangi Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Vytvoření a odstranění všech příjemců a čtení a aktualizace všech vlastností příjemců v Exchangi Online |
Správce toku externího ID uživatele
Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) na webu Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML/CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Microsoft Entra. Na druhou stranu tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury Identity Experience Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.
Akce | Popis |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Čtení a konfigurace toku uživatele v Azure Active Directory B2C |
Správce atributů toku externího ID uživatele
Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy dostupné všem tokům uživatelů v organizaci Microsoft Entra. Uživatelé s touto rolí mohou změnit nebo přidat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám toho, jaká data mohou být požádáni o koncové uživatele a nakonec je odesílat jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.
Akce | Popis |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Čtení a konfigurace atributu uživatele v Azure Active Directory B2C |
Externí správce zprostředkovatele identity
Jedná se o privilegovanou roli. Tento správce spravuje federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. V této roli můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (např. cesta ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Microsoft Entra povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:
- Organizace Microsoft Entra pro zaměstnance a partnery: Přidání federace (např. s Gmailem) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
- Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo s jinou organizací Microsoft Entra) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (označuje se také jako předdefinovaná zásada). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity. Pokud chcete změnit toky uživatelů, vyžaduje se omezená role správce toku uživatele B2C.
Správce prostředků infrastruktury
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Fabric a Power BI, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců prostředků infrastruktury.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Správa všech aspektů prostředků infrastruktury a Power BI |
Globální správce
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají přístup ke všem funkcím správy v Microsoft Entra ID a službám, které používají identity Microsoft Entra, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online, SharePoint Online a Skype pro firmy Online. Globální správci můžou zobrazit protokoly aktivit adresáře. Globální správci navíc můžou zvýšit přístup ke správě všech předplatných a skupin pro správu Azure. Globální správci tak můžou získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Microsoft Entra. Osoba, která se zaregistruje do organizace Microsoft Entra, se stane globálním správcem. Ve vaší společnosti může být více než jeden globální správce. Globální správci můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální správce nemůže odebrat vlastní přiřazení globálního správce. Tím zabráníte situaci, kdy má organizace nula globálních správců.
Poznámka:
Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.
Globální čtenář
Jedná se o privilegovanou roli. Uživatelé v této roli můžou číst nastavení a informace o správě služeb Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek jen pro čtení globálního správce. Přiřaďte globální čtenáře místo globálního správce pro plánování, audity nebo šetření. Globální čtenář můžete použít v kombinaci s dalšími omezenými rolemi správců, jako je správce Exchange, aby se práce usnadnila bez přiřazení role globálního správce. Globální čtenář spolupracuje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, webem Azure Portal a centrem pro správu Správa zařízení.
Uživatelé s touto rolí nemohou provádět následující akce:
- V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.
Poznámka:
Role globální čtenáře má následující omezení:
- Centrum pro správu OneDrivu – Centrum pro správu OneDrivu nepodporuje roli Globální čtenář
- portálu Microsoft 365 Defender – Globální čtenář nemůže prohledávat obsah ani zobrazit bezpečnostní skóre.
- Centrum pro správu Teams – Globální čtenář nemůže číst životní cyklus Teams, analýzy a sestavy, správu ip telefonních zařízení a katalog aplikací. Další informace najdete v tématu Použití rolí správce Microsoft Teams ke správě Teams.
- Privileged Access Management nepodporuje roli Globální čtenář.
- Azure Information Protection – Globální čtenář se podporuje jenom pro centrální vytváření sestav a pokud vaše organizace Microsoft Entra není na platformě sjednoceného popisování.
- SharePoint – Globální čtenář má přístup pro čtení k rutinám PowerShellu SharePointu Online a rozhraním API pro čtení.
- Centrum pro správu Power Platform – Globální čtenář se zatím v Centru pro správu Power Platform nepodporuje.
- Microsoft Purview nepodporuje roli Globální čtenář.
Globální správce zabezpečeného přístupu
Přiřaďte roli globálního správce zabezpečeného přístupu uživatelům, kteří potřebují:
- Vytváření a správa všech aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup
- Správa přístupu k veřejným a privátním koncovým bodům
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde spravovat podnikové aplikace, registrace aplikací, podmíněný přístup nebo nastavení proxy aplikací
Akce | Popis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
microsoft.directory/applications/applicationProxy/read | Čtení všech vlastností proxy aplikací |
microsoft.directory/applications/owners/read | Čtení vlastníků aplikací |
microsoft.directory/applications/policies/read | Čtení zásad aplikací |
microsoft.directory/applications/standard/read | Čtení standardních vlastností aplikací |
microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení |
microsoft.directory/conditionalAccessPolicies/standard/read | Čtení podmíněného přístupu pro zásady |
microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin privátních síťových konektorů |
microsoft.directory/connectors/allProperties/read | Čtení všech vlastností privátních síťových konektorů |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
microsoft.networkAccess/allEntities/allProperties/allTasks | Správa všech aspektů přístupu k síti Microsoft Entra |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce skupin
Uživatelé v této roli můžou vytvářet nebo spravovat skupiny a jejich nastavení, jako je pojmenování a zásady vypršení platnosti. Je důležité vědět, že přiřazování uživatele k této roli mu kromě Outlooku umožňuje spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také konkrétní úlohy, jako jsou Centra pro správu Teams a SharePointu.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/deletedItems.groups/delete | Trvalé odstranění skupin, které se už nedají obnovit |
microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
microsoft.directory/groups/assignLicense | Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin |
microsoft.directory/groups/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups/create | Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/groupType/update | Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/onPremWriteBack/update | Aktualizace skupin Microsoft Entra tak, aby byly zapsány zpět do místního prostředí pomocí microsoft Entra Connect |
microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
microsoft.directory/groups/restore | Obnovení skupin z obnovitelného odstraněného kontejneru |
microsoft.directory/groups/settings/update | Aktualizace nastavení skupin |
microsoft.directory/groups/visibility/update | Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Pozvaný host
Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B, když členové mohou pozvat nastavení uživatele nastavena na Ne. Další informace o spolupráci B2B na webu About Microsoft Entra B2B collaboration. Nezahrnuje žádná další oprávnění.
Akce | Popis |
---|---|
microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
microsoft.directory/users/deviceForResourceAccount/read | Čtení zařízeníForResourceAccount uživatelů |
microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
microsoft.directory/users/invitedBy/read | Přečtěte si uživatele, který pozval externího uživatele do tenanta. |
microsoft.directory/users/inviteGuest | Pozvání uživatelů typu host |
microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
microsoft.directory/users/manager/read | Číst nadřízený uživatelů |
microsoft.directory/users/memberOf/read | Čtení členství ve skupinách uživatelů |
microsoft.directory/users/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u uživatelů |
microsoft.directory/users/ownedDevices/read | Čtení vlastněných zařízení uživatelů |
microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu |
microsoft.directory/users/sponzors/read | Přečíst sponzory uživatelů |
microsoft.directory/users/standard/read | Čtení základníchvlastnostíchch |
Správce helpdesku
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zrušení platnosti obnovovacího tokenu vynutí, aby se uživatel znovu přihlásil. Určuje, jestli správce helpdesku může resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce helpdesku resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nemají udělená správcům helpdesku. Prostřednictvím této cesty může správce helpdesku předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Delegování oprávnění správce pro podmnožinu uživatelů a použití zásad na podmnožinu uživatelů je možné u jednotek pro správu.
Tato role se dříve jmenovala Správce hesel na webu Azure Portal. Přejmenoval se na správce helpdesku, aby se shodoval s existujícím názvem v rozhraní Microsoft Graph API a Microsoft Graph PowerShellu.
Správce hybridní identity
Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z Active Directory do Microsoft Entra ID pomocí zřizování cloudu a spravovat Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Connect Health. Uživatelé můžou pomocí této role také řešit potíže a monitorovat protokoly.
Správce zásad správného řízení identit
Uživatelé s touto rolí můžou spravovat konfiguraci zásad správného řízení ID Microsoft Entra, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, zajištění schválení a kontroly přístupu a odebrání uživatelů typu host, kteří už nepotřebují přístup.
Akce | Popis |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí. |
microsoft.directory/accessReviews/definitions.groups/create | Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra |
microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
Správce přehledů
Uživatelé v této roli mají přístup k celé sadě možností správy v aplikaci Microsoft Viva Insights. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení správce přehledů.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.insights/allEntities/allProperties/allTasks | Správa všech aspektů aplikace Insights |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Analytik přehledů
Přiřaďte roli Analytik přehledů uživatelům, kteří potřebují:
- Analýza dat v aplikaci Microsoft Viva Insights, ale nemůže spravovat žádná nastavení konfigurace
- Vytváření, správa a spouštění dotazů
- Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.insights/queries/allProperties/allTasks | Spouštění a správa dotazů v nástroji Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Přehledy obchodního vedoucího programu
Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Insights. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což je odpovědnost za roli Správce přehledů.
Akce | Popis |
---|---|
microsoft.insights/programs/allProperties/update | Nasazení a správa programů v aplikaci Insights |
microsoft.insights/reports/allProperties/read | Zobrazení sestav a řídicího panelu v aplikaci Insights |
Správce Intune
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají v Microsoft Intune Online globální oprávnění, když je služba k dispozici. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) v Microsoft Intune.
Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Správce Intune ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správce nemůže aktualizovat vlastníky ani členství všech skupin Microsoftu 365 v organizaci. Může ale spravovat skupinu Microsoft 365, kterou vytvoří, která je součástí svých oprávnění koncových uživatelů. Každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, by se tedy měla spočítat do kvóty 250.
Poznámka:
V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Intune. Na webu Azure Portal se jmenuje Správce Intune.
Správce Kaizala
Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsfot Kaizala, když je služba přítomná, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s přijetím a používáním Kaizaly členy organizace a obchodními sestavy vygenerovanými pomocí akcí Kaizala.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce znalostí
Uživatelé v této roli mají úplný přístup ke všem znalostem, znalostem a inteligentním funkcím nastavení v Centrum pro správu Microsoftu 365. Mají obecný přehled o sadě produktů, podrobností o licencování a mají odpovědnost za řízení přístupu. Správce znalostí může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.
Akce | Popis |
---|---|
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník. |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Správa zdrojů učení a všech jejich vlastností v aplikaci Learning |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Čtení všech vlastností popisků citlivosti v centrech zabezpečení a dodržování předpisů |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce znalostní báze
Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.
Akce | Popis |
---|---|
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník. |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce licencí
Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění využití u uživatelů. Role neuděluje možnost nakupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny nebo vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/groups/assignLicense | Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin |
microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
microsoft.directory/users/assignLicense | Správa uživatelských licencí |
microsoft.directory/users/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro uživatele |
microsoft.directory/users/usageLocation/update | Aktualizace umístění využití uživatelů |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce pracovních postupů životního cyklu
Jedná se o privilegovanou roli. Přiřaďte roli správce pracovních postupů životního cyklu uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření a správa všech aspektů pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID
- Kontrola provádění plánovaných pracovních postupů
- Spuštění pracovního postupu na vyžádání
- Kontrola protokolů spouštění pracovních postupů
Čtečka ochrany osobních údajů v Centru zpráv
Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů dat. Čtečky ochrany osobních údajů v Centru zpráv získají e-mailová oznámení, včetně těch, které se týkají ochrany osobních údajů v datech, a můžou odběr odběru odběru odběru pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst jenom globální správce a čtenář ochrany osobních údajů centra zpráv. Tato role navíc obsahuje možnost zobrazovat skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.messageCenter/securityMessages/read | Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Čtečka centra zpráv
Uživatelé v této roli můžou monitorovat oznámení a rady aktualizací stavu v Centru zpráv pro svou organizaci na nakonfigurovaných službách, jako jsou Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostanou týdenní přehledy e-mailů o příspěvcích, aktualizacích a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Microsoft Entra ID budou mít uživatelé přiřazené k této roli přístup jen pro čtení ke službám Microsoft Entra, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce migrace Microsoftu 365
Přiřaďte roli Správce migrace Microsoftu 365 uživatelům, kteří potřebují provádět následující úlohy:
- Použití Migration Manageru v Centrum pro správu Microsoftu 365 ke správě migrace obsahu do Microsoftu 365, včetně Teams, OneDrive pro firmy a sharepointových webů, z Disku Google, Dropboxu, Boxu a Egnyte
- Vyberte zdroje migrace, vytvořte inventáře migrace (například seznamy uživatelů disku Google), naplánujte a spusťte migrace a stáhněte si sestavy.
- Vytvořte nové sharepointové weby, pokud cílové weby ještě neexistují, vytvořte sharepointové seznamy pod weby pro správu SharePointu a vytvořte a aktualizujte položky v sharepointových seznamech.
- Správa nastavení projektu migrace a životního cyklu migrace pro úkoly
- Správa mapování oprávnění ze zdroje do cíle
Poznámka:
Tato role neumožňuje migrovat ze zdrojů sdílených složek pomocí Centra pro správu SharePointu. Roli správce SharePointu můžete použít k migraci ze zdrojů sdílených složek.
Akce | Popis |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Správa všech aspektů migrací Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Místní správce zařízení připojený k Microsoft Entra
Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech zařízeních s Windows 10 připojených k Microsoft Entra ID. Nemají možnost spravovat objekty zařízení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/groupSettings/standard/read | Čtení základních vlastností v nastavení skupiny |
microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností v šablonách nastavení skupin |
Správce záruky hardwaru společnosti Microsoft
Přiřaďte roli Správce hardwarové záruky společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
- Hledání a čtení otevřených nebo uzavřených nároků na záruku
- Hledat a číst záruční nároky podle sériového čísla
- Vytvoření, čtení, aktualizace a odstranění dodacích adres
- Přečtěte si stav expedice pro otevřené záruky
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Přečtěte si oznámení centra zpráv v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.
Akce | Popis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli |
microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu. |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Specialista microsoftu na záruku hardwaru
Přiřaďte roli Specialista na hardware společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
- Přečtěte si nároky na záruku, které vytvořili.
- Čtení a aktualizace existujících dodacích adres
- Přečtěte si stav expedice pro otevřené nároky na záruku, které vytvořili.
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.
Akce | Popis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli. |
microsoft.hardware.support/warrantyClaims/createAsOwner | Vytvoření deklarací záruce hardwaru Microsoftu, kde je tvůrce vlastníkem |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu. |
microsoft.hardware.support/warrantyClaims/allProperties/read | Čtení deklarací záruce hardwaru Microsoftu |
Správce moderního obchodování
Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jakékoli jiné použití. Podrobnosti najdete níže.
Role Správce moderního obchodu dává určitým uživatelům oprávnění pro přístup k Centrum pro správu Microsoftu 365 a zobrazuje levé navigační položky pro domovskou stránku, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen rolemi specifickými pro obchodování přiřazené uživatelům ke správě produktů, které si koupili pro sebe nebo vaši organizaci. Může to zahrnovat úkoly, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.
Uživatelé s rolí Moderní správce obchodu mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního správce ani správce fakturace, které se používají pro přístup k Centru pro správu.
Kdy je přiřazena role Správce moderního obchodování?
- Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty nákupem nebo registrací sami. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří provádějí samoobslužný nákup, se přiřazují role v komerčním systému a roli Moderní správce obchodu, aby mohli spravovat nákupy v Centru pro správu. Správci můžou prostřednictvím PowerShellu blokovat samoobslužné nákupy (pro Prostředky infrastruktury, Power BI, Power Apps, Power Automate). Další informace najdete v nejčastějších dotazech k samoobslužným nákupům.
- Nákupy z komerčního marketplace Microsoftu – podobně jako samoobslužný nákup, když uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se mu role Moderní správce obchodu, pokud nemá roli globálního správce nebo správce fakturace. V některých případech můžou být uživatelé zablokovaní v provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
- Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci, která umožňuje nakupovat produkty a služby Microsoftu. Pokud osoba, která návrh přijímá, nemá v ID Microsoft Entra roli globálního správce ani správce fakturace, přiřadí se mu role specifická pro obchod, která návrh dokončí, i roli moderního správce obchodu pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich obchodní rolí.
- Obchodní role – Někteří uživatelé mají přiřazené role specifické pro obchod. Pokud uživatel není globálním správcem nebo správcem fakturace, získá roli moderního správce obchodu, aby mohl získat přístup k Centru pro správu.
Pokud uživatel nepřiřadí roli Správce moderního obchodu, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy správy předplatných.
Akce | Popis |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Správa všech aspektů centra Volume Licensing Service Center |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/basic/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce sítě
Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na telemetrii sítě z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatelů. Tato role umožňuje upravit zjištěná umístění uživatelů a konfiguraci parametrů sítě pro tato umístění, aby se usnadnila vylepšená měření telemetrie a doporučení k návrhu.
Akce | Popis |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Správa všech aspektů síťových umístění |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce aplikací Office
Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoftu 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavu související s aplikace Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli mohou také spravovat komunikaci nových funkcí v aplikace Office.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.userCommunication/allEntities/allTasks | Čtení a aktualizace viditelnosti nových zpráv |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce brandingu organizace
Přiřaďte roli správce brandingu organizace uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů brandingu organizace v tenantovi
- Čtení, vytváření, aktualizace a odstraňování motivů brandingu
- Správa výchozího motivu brandingu a všech motivů lokalizace brandingu
Akce | Popis |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností |
Schvalovatel zpráv organizace
Přiřaďte roli schvalovatele zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:
- Kontrola, schválení nebo odmítnutí nových organizačních zpráv pro doručování v Centrum pro správu Microsoftu 365 před jejich odesláním uživatelům pomocí platformy Organizační zprávy Microsoftu 365
- Čtení všech aspektů organizačních zpráv
- Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Čtení všech aspektů zpráv organizace Microsoftu 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Schválení nebo odmítnutí nových zpráv organizace pro doručení v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Zapisovatel zpráv organizace
Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:
- Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Čtení výsledků doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny
Akce | Popis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Správa všech aspektů vytváření zpráv organizace v Microsoftu 365 |
microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Podpora partnerské vrstvy 1
Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tuto roli byste neměli používat, protože je zastaralá.
Podpora partnerské vrstvy 2
Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních správců). Tuto roli byste neměli používat, protože je zastaralá.
Správce hesel
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. Určuje, jestli správce hesel může resetovat heslo uživatele, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce hesel resetovat hesla, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Správce správy oprávnění
Přiřaďte roli Správce správy oprávnění uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Správa oprávnění Microsoft Entra, když je služba k dispozici
Další informace o rolích a zásadách správy oprávnění najdete v tématu Zobrazení informací o rolích a zásadách.
Akce | Popis |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Správa všech aspektů Správa oprávnění Microsoft Entra |
Správce Power Platform
Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toky, zásady ochrany před únikem informací. Uživatelé s touto rolí navíc můžou spravovat lístky podpory a monitorovat stav služby.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
microsoft.flow/allEntities/allTasks | Správa všech aspektů Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.powerApps/allEntities/allTasks | Správa všech aspektů Power Apps |
Správce tiskárny
Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Universal Print, včetně nastavení konektoru pro univerzální tisk. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Správci tiskárny mají také přístup k tisk sestavám.
Akce | Popis |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v aplikaci Microsoft Print |
Technik tiskárny
Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Universal Print. Můžou si také přečíst všechny informace o konektoru. Klíčovým úkolem, který nemůže technik tiskárny provést, je nastavit uživatelská oprávnění k tiskárnám a sdílení tiskáren.
Akce | Popis |
---|---|
microsoft.azure.print/connectors/allProperties/read | Čtení všech vlastností konektorů v aplikaci Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Čtení všech vlastností tiskáren v aplikaci Microsoft Print |
microsoft.azure.print/printers/basic/update | Aktualizace základních vlastností tiskáren v aplikaci Microsoft Print |
microsoft.azure.print/printers/register | Registrace tiskáren v Microsoft Printu |
microsoft.azure.print/printers/unregister | Zrušení registrace tiskáren v aplikaci Microsoft Print |
Správce privilegovaného ověřování
Jedná se o privilegovanou roli. Přiřaďte roli Správce privilegovaného ověřování uživatelům, kteří potřebují:
- Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních správců.
- Odstraňte nebo obnovte všechny uživatele, včetně globálních správců. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vynutit, aby se uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO2) a odvolali pamatovat si vícefaktorové ověřování na zařízenía při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
- Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
- Konfigurace certifikačních autorit pomocí úložiště důvěryhodnosti založeného na infrastruktuře veřejných klíčů (Preview)
Uživatelé s touto rolí nemohou provádět následující akce:
- Vícefaktorové ověřování pro jednotlivé uživatele nejde spravovat na starším portálu pro správu vícefaktorového ověřování.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | Yes | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Správce zásad ověřování | No | Yes | Yes | Yes | Yes | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům ověřování. Prostřednictvím této cesty může správce ověřování předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Správce privilegovaných rolí
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat přiřazení rolí v Microsoft Entra ID i v rámci služby Microsoft Entra Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k rolím Microsoft Entra. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.
Důležité
Tato role uděluje možnost spravovat přiřazení pro všechny role Microsoft Entra, včetně role globálního správce. Tato role nezahrnuje žádné další privilegované schopnosti v MICROSOFT Entra ID, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli ale můžou udělit sami sobě nebo jiným dalším oprávněním tím, že přiřazují další role.
Čtenář sestav
Uživatelé s touto rolí mohou zobrazit data sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Prostředcích infrastruktury a Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlašování, protokolům auditu a sestavám aktivit v Microsoft Entra ID a datech vrácených rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centerm pro správu pro konkrétní produkty, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení |
microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce vyhledávání
Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Kromě toho můžou tito uživatelé zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Editor vyhledávání
Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, otázek a umístění.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením na portálu Microsoft 365 Defender, microsoft Entra ID Protection, ověřování Microsoft Entra, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Monitorování zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Správa bezpečnostních hrozeb a výstrah Zobrazení sestav |
Microsoft Entra ID Protection | Všechna oprávnění role Čtenář zabezpečení Provádění všech operací ochrany ID s výjimkou resetování hesel |
Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení Nejde spravovat přiřazení nebo nastavení rolí Microsoft Entra |
Portál pro dodržování předpisů Microsoft Purview | Správa zásad zabezpečení Zobrazení, prošetření a reakce na bezpečnostní hrozby Zobrazení sestav |
Azure Advanced Threat Protection | Monitorování podezřelých aktivit zabezpečení a reakce na ně |
Microsoft Defender for Endpoint | Přiřazení rolí Správa skupin počítačů Konfigurace detekce hrozeb koncového bodu a automatizovaná náprava Zobrazení, prošetření a reakce na upozornění Zobrazení inventáře počítačů nebo zařízení |
Intune | Mapuje se na roli Intune Endpoint Security Manager. |
Microsoft Defender for Cloud Apps | Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Inteligentní uzamčení | Definujte prahovou hodnotu a dobu trvání uzamčení, když dojde k neúspěšným událostem přihlášení. |
Ochrana heslem | Nakonfigurujte vlastní zakázaný seznam hesel nebo místní ochranu heslem. |
Synchronizace mezi tenanty | Nakonfigurujte nastavení přístupu mezi tenanty pro uživatele v jiném tenantovi. Správci zabezpečení nemůžou přímo vytvářet a odstraňovat uživatele, ale můžou nepřímo vytvářet a odstraňovat synchronizované uživatele z jiného tenanta, když jsou oba tenanti nakonfigurovaní pro synchronizaci mezi tenanty, což je privilegované oprávnění. |
Operátor zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Všechna oprávnění role Čtenář zabezpečení Zobrazení, prošetření výstrah zabezpečení a reakce na ně Správa nastavení zabezpečení na portálu Microsoft 365 Defender |
Microsoft Entra ID Protection | Všechna oprávnění role Čtenář zabezpečení Proveďte všechny operace ochrany ID s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněními. |
Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení |
Portál pro dodržování předpisů Microsoft Purview | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
Microsoft Defender for Endpoint | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint. |
Intune | Všechna oprávnění role Čtenář zabezpečení |
Microsoft Defender for Cloud Apps | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Čtenář zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Microsoft Entra a v Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Zobrazení bezpečnostních hrozeb a výstrah Zobrazení sestav |
Microsoft Entra ID Protection | Zobrazení všech sestav ochrany ID a přehledu |
Privileged Identity Management | Má přístup jen pro čtení ke všem informacím, které se zobrazí v Microsoft Entra Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Microsoft Entra a kontroly zabezpečení. Microsoft Entra Privileged Identity Management se nemůže zaregistrovat ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může někdo v této roli aktivovat další role (například správce privilegovaných rolí), pokud má uživatel nárok na ně. |
Portál pro dodržování předpisů Microsoft Purview | Zobrazení zásad zabezpečení Zobrazení a zkoumání bezpečnostních hrozeb Zobrazení sestav |
Microsoft Defender for Endpoint | Zobrazení a zkoumání výstrah Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint. |
Intune | Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nelze provádět změny. |
Microsoft Defender for Cloud Apps | Má oprávnění ke čtení. |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Správce podpory služeb
Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv na webu Azure Portal a Centrum pro správu Microsoftu 365. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
Tato role se dříve jmenovala Správce služeb na webu Azure Portal a Centrum pro správu Microsoftu 365. Přejmenoval se na správce podpory služeb, aby se shodoval s existujícím názvem v rozhraní Microsoft Graph API a v Prostředí Microsoft Graph PowerShell.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce SharePointu
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služby SharePoint. Na webu Azure Portal se jmenuje Správce SharePointu.
Poznámka:
Tato role také uděluje vymezená oprávnění k rozhraní Microsoft Graph API pro Microsoft Intune, což umožňuje správu a konfiguraci zásad souvisejících s prostředky SharePointu a OneDrivu.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Vytvoření a správa zásad ochrany OneDrivu ve službě Microsoft 365 Backup |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Čtení a konfigurace relace obnovení pro OneDrive ve službě Microsoft 365 Backup |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Správa všech bodů obnovení přidružených k vybraným sharepointovým webům v zálohování M365 |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Správa všech bodů obnovení přidružených k vybraným účtům OneDrivu ve službě Zálohování M365 |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Vytvoření a správa zásad ochrany SharePointu ve službě Microsoft 365 Backup |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Čtení a konfigurace relace obnovení pro SharePoint ve službě Microsoft 365 Backup |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Správa webů přidaných do zásad ochrany SharePointu ve službě Microsoft 365 Backup |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Správa webů přidaných do relace obnovení sharepointu v Microsoft 365 Backup |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Správa účtů přidaných do zásad ochrany OneDrivu ve službě Microsoft 365 Backup |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Správa účtů přidaných k relaci obnovení OneDrivu ve službě Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Správa všech aspektů migrací Microsoftu 365 |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce služby SharePoint Embedded
Přiřaďte roli správce služby SharePoint Embedded uživatelům, kteří potřebují provádět následující úlohy:
- Provádění všech úloh pomocí PowerShellu, rozhraní Microsoft Graph API nebo Centra pro správu SharePointu
- Správa, konfigurace a údržba kontejnerů Služby SharePoint Embedded
- Vytvoření výčtu a správa kontejnerů Služby SharePoint Embedded
- Vytvoření výčtu a správa oprávnění pro kontejnery Služby SharePoint Embedded
- Správa úložiště kontejnerů Služby SharePoint Embedded v tenantovi
- Přiřazení zásad zabezpečení a dodržování předpisů v kontejnerech Služby SharePoint Embedded
- Použití zásad zabezpečení a dodržování předpisů u kontejnerů SharePoint Embedded v tenantovi
Akce | Popis |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Správa všech aspektů kontejnerů Služby SharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce Skype pro firmy
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba přítomna, a také spravovat atributy uživatele specifické pro Skype v Microsoft Entra ID. Tato role navíc umožňuje spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams nebo nemůže spouštět rutiny Teams PowerShellu. Další informace najdete v tématu Skype pro firmy informace o licencování online správců a Teams na Skype pro firmy doplňkových licencích.
Poznámka:
V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Lyncu. Na webu Azure Portal se jmenuje Skype pro firmy Administrator.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Teams
Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams a příslušných modulů PowerShellu Skype pro firmy. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvoření zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
microsoft.directory/externalUserProfiles/basic/update | Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/externalUserProfiles/delete | Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/externalUserProfiles/standard/read | Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/create | Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/allEntities/allProperties/allTasks | Správa všech prostředků v Teams |
Správce komunikace Teams
Uživatelé v této roli mohou spravovat aspekty úloh Microsoft Teams souvisejících s hlasem a telefonií. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup ke sadě nástrojů analýzy hovorů.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Správa schůzek, včetně zásad schůzek, konfigurací a konferenčních mostů |
microsoft.teams/voice/allProperties/allTasks | Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení |
Technik podpory komunikace v Teams
Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu hovoru pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
Specialista na podporu komunikace v Teams
Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit pouze podrobnosti o uživateli při volání konkrétního uživatele, který hledal. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/standard/read | Čtení základních dat na řídicím panelu kvality volání (CQD) |
Správce zařízení Teams
Uživatelé s touto rolí můžou spravovat zařízení certifikovaná aplikací Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení najednou a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, vytvoření a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.
Akce | Popis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/devices/standard/read | Správa všech aspektů zařízení certifikovaných v Teams, včetně zásad konfigurace |
Správce telefonních služeb Teams
Přiřaďte roli správce telefonie Teams uživatelům, kteří potřebují provádět následující úlohy:
- Správa hlasových a telefonních hovorů, včetně zásad volání, správy telefonních čísel a přiřazení a hlasových aplikací
- Přístup pouze k sestavám využití veřejné telefonní sítě (PSTN) z Centra pro správu Teams
- Zobrazit stránku profilu uživatele
- Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
microsoft.teams/voice/allProperties/allTasks | Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení |
Tvůrce tenanta
Přiřaďte roli Tvůrce tenanta uživatelům, kteří potřebují provádět následující úlohy:
- Vytvoření tenantů Microsoft Entra i Azure Active Directory B2C i v případě, že je přepínač pro vytvoření tenanta vypnutý v uživatelských nastaveních
Poznámka:
Tvůrci tenantů budou mít přiřazenou roli globálního správce u nových tenantů, které vytvoří.
Akce | Popis |
---|---|
microsoft.directory/tenantManagement/tenants/create | Vytvoření nových tenantů v Microsoft Entra ID |
Čtenář souhrnných sestav využití
Přiřaďte roli čtenáře souhrnných sestav využití uživatelům, kteří potřebují v Centrum pro správu Microsoftu 365 provádět následující úlohy:
- Zobrazení sestav využití a skóre přijetí
- Čtení přehledů organizace, ale ne identifikovatelných osobních údajů (PII) uživatelů
Tato role umožňuje uživatelům zobrazit pouze data na úrovni organizace s následujícími výjimkami:
- Členové můžou zobrazit data a nastavení správy uživatelů.
- Uživatelé typu host, kteří mají přiřazenou tuto roli, nemůžou zobrazit data a nastavení správy uživatelů.
Akce | Popis |
---|---|
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce uživatelů
Jedná se o privilegovanou roli. Přiřaďte roli Správce uživatelů uživatelům, kteří potřebují:
Oprávnění | Více informací |
---|---|
Vytvoření uživatelů | |
Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců | Kdo může provádět citlivé akce |
Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele | Kdo může provádět citlivé akce |
Zakázání nebo povolení některých uživatelů | Kdo může provádět citlivé akce |
Odstranění nebo obnovení některých uživatelů | Kdo může provádět citlivé akce |
Vytváření a správa uživatelských zobrazení | |
Vytvoření a správa všech skupin | |
Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců | |
Resetování hesel | Kdo může resetovat hesla |
Zneplatnění obnovovacích tokenů | Kdo může resetovat hesla |
Aktualizace klíčů zařízení (FIDO) | |
Aktualizace zásad vypršení platnosti hesel | |
Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365 | |
Monitorování stavu služby |
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde spravovat vícefaktorové ověřování.
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
- Sdílené poštovní schránky nelze spravovat.
- Nelze upravit bezpečnostní otázky týkající se operace resetování hesla.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům uživatelů. Prostřednictvím této cesty může správce uživatele předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Správce úspěchu uživatelského prostředí
Přiřaďte roli Správce úspěchu uživatelského prostředí uživatelům, kteří potřebují provádět následující úlohy:
- Čtení sestav využití na úrovni organizace pro Aplikace a služby Microsoftu 365, ale ne podrobnosti o uživateli
- Podívejte se na zpětnou vazbu k produktům vaší organizace, výsledky průzkumu NET Promoter Score (NPS) a nápovědy k identifikaci komunikačních a školicích příležitostí.
- Čtení příspěvků centra zpráv a dat o stavu služby
Akce | Popis |
---|---|
microsoft.commerce.billing/purchases/standard/read | Přečtěte si služby nákupu v Centru pro správu M365. |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Čtení všech aspektů zpráv organizace Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce virtuálních návštěv
Uživatelé s touto rolí můžou provádět následující úlohy:
- Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
- Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365, Prostředcích infrastruktury a Power BI
- Zobrazení funkcí a nastavení v Centrum pro správu Microsoftu 365, ale nemůže upravit žádná nastavení
Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online a videoobjednávky pro pedagogy a účastníky. Vytváření sestav využití může například ukázat, jak odesílání textových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují u událostí.
Akce | Popis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy |
Viva Goals Administrator
Přiřaďte roli Správce cílů Viva uživatelům, kteří potřebují provádět následující úlohy:
- Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
- Konfigurace nastavení správce cílů Microsoft Viva
- Čtení informací o tenantovi Microsoft Entra
- Monitorování stavu služby Microsoft 365
- Vytváření a správa žádostí o služby Microsoft 365
Další informace najdete v tématu Role a oprávnění v nástroji Viva Goals a Úvod do cílů Microsoft Viva.
Akce | Popis |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Správa všech aspektů cílů Microsoft Viva |
Viva Pulse Administrator
Přiřaďte roli Viva Pulse Administrator uživatelům, kteří potřebují provádět následující úlohy:
- Čtení a konfigurace všech nastavení Viva Pulse
- Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
- Čtení a konfigurace služby Azure Service Health
- Vytváření a správa lístků podpora Azure
- Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
- Čtení sestav využití v Centrum pro správu Microsoftu 365
Další informace najdete v tématu Přiřazení správce Viva Pulse v Centrum pro správu Microsoftu 365.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Správa všech aspektů Microsoft Viva Pulse |
Správce Windows 365
Uživatelé s touto rolí mají při přítomnosti služby globální oprávnění k prostředkům Windows 365. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.
Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správci nemůžou aktualizovat vlastníky ani členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncových uživatelů. Takže každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do kvóty 250.
Přiřaďte roli Správce Systému Windows 365 uživatelům, kteří potřebují provádět následující úlohy:
- Správa cloudových počítačů s Windows 365 v Microsoft Intune
- Registrace a správa zařízení v Microsoft Entra ID, včetně přiřazování uživatelů a zásad
- Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
- Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.cloudPC/allEntities/allProperties/allTasks | Správa všech aspektů Windows 365 |
microsoft.directory/deletedItems.devices/delete | Trvale odstranit zařízení, která se už nedají obnovit |
microsoft.directory/deletedItems.devices/restore | Obnovení obnovitelně odstraněných zařízení do původního stavu |
microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací |
microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
microsoft.directory/devices/basic/update | Aktualizace základních vlastností na zařízeních |
microsoft.directory/devices/create | Vytvoření zařízení (registrace v Microsoft Entra ID) |
microsoft.directory/devices/delete | Odstranění zařízení z Microsoft Entra ID |
microsoft.directory/devices/disable | Zakázání zařízení v Microsoft Entra ID |
microsoft.directory/devices/enable | Povolení zařízení v Microsoft Entra ID |
microsoft.directory/devices/extensionAttributeSet1/update | Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních |
microsoft.directory/devices/extensionAttributeSet2/update | Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních |
microsoft.directory/devices/extensionAttributeSet3/update | Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních |
microsoft.directory/devices/registeredOwners/update | Aktualizace registrovaných vlastníků zařízení |
microsoft.directory/devices/registeredUsers/update | Aktualizace registrovaných uživatelů zařízení |
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/visibility/update | Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
správce nasazení služba Windows Update
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se aktualizace nasazují, a určit, které aktualizace se nabízejí skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.
Akce | Popis |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Čtení a konfigurace všech aspektů služby služba Windows Update Service |
Správce Yammeru
Přiřaďte roli správce Yammeru uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Yammeru
- Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
- Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně přiřazovatelných skupin rolí
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Zobrazení oznámení v Centru zpráv, ale ne oznámení o zabezpečení
- Zobrazení stavu služby
Akce | Popis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Správa všech aspektů Yammeru |
Zastaralé role
Neměly by se používat následující role. Byly zastaralé a v budoucnu se odeberou z ID Microsoft Entra.
- Správce licencí AdHoc
- Připojení zařízení
- Správce zařízení
- Uživatelé zařízení
- Autor ověřeného uživatele e-mailem
- Správce poštovní schránky
- Připojení zařízení na pracovišti
Role se nezobrazují na portálu
Na webu Azure Portal se nezobrazují všechny role vrácené PowerShellem nebo rozhraním MS Graph API. Následující tabulka tyto rozdíly uspořádá.
Název rozhraní API | Název webu Azure Portal | Notes |
---|---|---|
Připojení zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Správce zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Uživatelé zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Účty synchronizace adresářů | Nezobsazeno, protože by se nemělo používat | Dokumentace k účtům synchronizace adresářů |
Uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
Podpora partnerské vrstvy 1 | Nezobsazeno, protože by se nemělo používat | Dokumentace podpory partnerské vrstvy 1 |
Podpora partnerské vrstvy 2 | Nezobsazeno, protože by se nemělo používat | Dokumentace podpory partnerské vrstvy 2 |
Omezený uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
Uživatelská | Nezobrazuje se, protože se nedá použít | NA |
Připojení zařízení na pracovišti | Zastaralé | Dokumentace k zastaralým rolím |