Delen via


Ingebouwde Microsoft Entra-rollen

Als een andere beheerder of niet-beheerder microsoft Entra-resources moet beheren, wijst u in Microsoft Entra-id een Microsoft Entra-rol toe die de benodigde machtigingen biedt. U kunt bijvoorbeeld rollen toewijzen waarmee gebruikers toegevoegd of gewijzigd, gebruikerswachtwoorden opnieuw ingesteld, gebruikerslicenties beheerd of domeinnamen beheerd kunnen worden.

Dit artikel bevat de ingebouwde Microsoft Entra-rollen die u kunt toewijzen om het beheer van Microsoft Entra-resources toe te staan. Zie Microsoft Entra-rollen toewijzen aan gebruikers voor meer informatie over toewijzen van rollen. Zie Ingebouwde Azure-rollen als u op zoek bent naar rollen voor het beheren van Azure-resources.

Alle rollen

Rol Beschrijving Sjabloon-id
AI-beheerder Beheer alle aspecten van Microsoft 365 Copilot en AI-gerelateerde bedrijfsservices in Microsoft 365. d2562ede-74db-457e-a7b6-544e236ebb61
Toepassingsbeheerder Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren.
Pictogram voor bevoegd label.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Toepassingsontwikkelaar Kan toepassingsregistraties maken, ongeacht de instelling voor 'Gebruikers kunnen toepassingen registreren'.
Pictogram voor bevoegd label.
cf1c38e5-3621-4004-a7cb-879624dced7c
Auteur van aanvalspayload Kan aanvalspayloads maken die een beheerder later kan starten. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Beheerder van aanvalssimulatie Kan alle aspecten van simulatiecampagnes voor aanvallen maken en beheren. c430b396-e693-46cc-96f3-db01bf8bb62a
Kenmerktoewijzingsbeheerder Wijs aangepaste beveiligingskenmerksleutels en -waarden toe aan ondersteunde Microsoft Entra-objecten. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lezer van kenmerktoewijzing Lees aangepaste beveiligingskenmerksleutels en -waarden voor ondersteunde Microsoft Entra-objecten. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Kenmerkdefinitiebeheerder Kan de definitie van aangepaste beveiligingskenmerken definiëren en beheren. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Kenmerkdefinitielezer Kan de definitie van aangepaste beveiligingskenmerken lezen. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Kenmerklogboekbeheerder Lees auditlogboeken en configureer diagnostische instellingen voor gebeurtenissen met betrekking tot aangepaste beveiligingskenmerken. 5b784334-f94b-471a-a387-e7219fc49ca2
Kenmerklogboeklezer Lees auditlogboeken met betrekking tot aangepaste beveiligingskenmerken. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Verificatiebeheerder Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker die geen beheerder is.
Pictogram voor bevoegd label.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Verificatie-uitbreidbaarheidsbeheerder Pas aanmeldings- en registratie-ervaringen voor gebruikers aan door aangepaste verificatie-extensies te maken en te beheren.
Pictogram voor bevoegd label.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Beheerder van verificatiebeleid Kan het beleid voor verificatiemethoden, tenantbrede MFA-instellingen, wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps-beheerder Kan Azure DevOps-beleid en -instellingen beheren. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection-beheerder Kan alle aspecten van het Azure Information Protection-product beheren. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF Keyset Administrator Kan geheimen voor federatie en versleuteling in Identity Experience Framework (IEF) beheren.
Pictogram voor bevoegd label.
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF-beleidsbeheerder Kan beleid voor het vertrouwensframework in Identity Experience Framework (IEF) maken en beheren. 3edaf663-341e-4475-9f94-5c398ef6c070
Factureringsbeheerder Kan algemene taken met betrekking tot facturering uitvoeren, zoals betalingsgegevens bijwerken. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security-beheerder Kan alle aspecten van het Defender for Cloud Apps-product beheren. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Beheerder van de cloudtoepassing Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren, behalve App Proxy.
Pictogram voor bevoegd label.
158c047a-c907-4556-b7ef-446551a6b5f7
Cloudapparaatbeheerder Beperkte toegang voor het beheren van apparaten in Microsoft Entra ID.
Pictogram voor bevoegd label.
7698a772-787b-4ac8-901f-60d6b08affd2
Nalevingsbeheerder Kan nalevingsconfiguratie en -rapporten lezen en beheren in Microsoft Entra-id en Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Beheerder van nalevingsgegevens Kan nalevingsinhoud maken en beheren. e6d1a23a-da11-4be4-9570-befc86d067a7
Beheerder voor voorwaardelijke toegang Kan de mogelijkheden van voorwaardelijke toegang beheren.
Pictogram voor bevoegd label.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Fiatteur voor klanten-LockBox-toegang Kan Microsoft-ondersteuningsaanvragen voor toegang tot bedrijfsgegevens van klanten goedkeuren. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics-beheerder Heeft toegang tot bureaubladbeheerhulpprogramma's en -services en kan deze beheren. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Adreslijstlezers Kunnen basisdirectorygegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Adreslijstsynchronisatieaccounts Alleen gebruikt door de Microsoft Entra Connect-service. d29b2b05-8046-44ba-8758-1e26182fcf32
Adreslijstschrijvers Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers.
Pictogram voor bevoegd label.
9360feb5-f418-4baa-8175-e2a00bac4301
Beheerder van domeinnamen Kan domeinnamen in de cloud en on-premises beheren.
Pictogram voor bevoegd label.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365-beheerder Kan alle aspecten van het Dynamics 365-product beheren. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central-beheerder Alle beheertaken openen en uitvoeren in Dynamics 365 Business Central-omgevingen. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge-beheerder Kan alle aspecten van Microsoft Edge beheren. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange-beheerder Kan alle aspecten van het Exchange-product beheren. 29232cdf-9323-42fd-ade2-1d097af3e4de
Beheerder van Exchange-ontvangers Kan Exchange Online-ontvangers maken of bijwerken binnen de Exchange Online-organisatie. 31392ffb-586c-42d1-9346-e59415a2cc4e
Beheerder van externe id-gebruikersstroom Kan alle aspecten van gebruikersstromen maken en beheren. 6e591065-9bad-43ed-90f3-e9424366d2f0
Kenmerkbeheerder voor externe id-gebruikersstroom Kan het kenmerkschema dat beschikbaar is voor alle gebruikersstromen, maken en beheren. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Beheerder van externe id-provider Kan id-providers voor gebruik in directe federatie configureren.
Pictogram voor bevoegd label.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Infrastructuurbeheerder Kan alle aspecten van de Fabric- en Power BI-producten beheren. a9ea8996-122f-4c74-9520-8edcd192826c
Algemene beheerder Kan alle aspecten van Microsoft Entra-id en Microsoft-services beheren die gebruikmaken van Microsoft Entra-identiteiten.
Pictogram voor bevoegd label.
62e90394-69f5-4237-9190-012177145e10
Globale lezer Kan alles lezen wat een globale beheerder kan lezen, maar kan niets bijwerken.
Pictogram voor bevoegd label.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Globale beheerder voor beveiligde toegang Maak en beheer alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang, waaronder het beheren van toegang tot openbare en privé-eindpunten. ac434307-12b9-4fa1-a708-88bf58caabc1
Groepsbeheerder Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. fdd7a751-b60b-444a-984c-02652fe8fa1c
Gastnodiger Kan onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen' gastgebruikers uitnodigen. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Helpdeskbeheerder Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders.
Pictogram voor bevoegd label.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybride identiteitsbeheerder Active Directory beheren voor Microsoft Entra-cloudinrichting, Microsoft Entra Connect, passthrough-verificatie (PTA), wachtwoord-hashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. Heeft geen toegang om Microsoft Entra Connect Health te beheren.
Pictogram voor bevoegd label.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance-beheerder Toegang beheren met behulp van Microsoft Entra ID voor identiteitsbeheerscenario's. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Inzichtenbeheerder Heeft beheerderstoegang in de Microsoft 365 Insights-app. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights-analist Heeft toegang tot de analytische mogelijkheden in Microsoft Viva Insights en voert aangepaste query's uit. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Kan dashboards en inzichten bekijken en delen via de Microsoft 365 Insights-app. 31e939ad-9672-4796-9c2e-873181342d2d
Intune-beheerder Kan alle aspecten van het Intune-product beheren.
Pictogram voor bevoegd label.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala-beheerder Kan instellingen voor Microsoft Kaizala beheren. 74ef975b-6605-40af-a5d2-b9539d836353
Kennisbeheerder Kan kennis, leren en andere intelligente functies configureren. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Kennismanager Kan onderwerpen en kennis organiseren, maken, beheren en promoten. 744ec460-397e-42ad-a462-8b3f9747a02c
Licentiebeheerder Kan productlicenties voor gebruikers en groepen beheren. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Beheerder van levenscycluswerkstromen Maak en beheer alle aspecten van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra ID.
Pictogram voor bevoegd label.
59d46f88-662b-457b-bceb-5c3809e5908f
Privacylezer van berichtencentrum Kan alleen beveiligingsberichten en -updates lezen in het Office 365-berichtencentrum. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Berichtencentrumlezer Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365-migratiebeheerder Voer alle migratiefunctionaliteit uit om inhoud naar Microsoft 365 te migreren met Behulp van Migration Manager. 8c8b803f-96e1-4129-9349-20738d9f9652
Lokale beheerder van Microsoft Entra-apparaat Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd aan de lokale beheerdersgroep op apparaten die zijn toegevoegd aan Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft Hardware Warranty Administrator Maak en beheer alle aspecten garantieclaims en rechten voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft Hardware Garantie Specialist Garantieclaims voor door Microsoft geproduceerde hardware maken en lezen, zoals Surface en HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Modern Commerce-beheerder Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. d24aef57-1500-4070-84db-2666f29cf966
Netwerkbeheerder Kan netwerklocaties beheren en inzichten in bedrijfsnetwerkontwerp bekijken voor Microsoft 365 Software as a Service-toepassingen. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office-appsbeheerder Kan cloudservices voor Office-apps beheren, waaronder beheer van beleid en instellingen. Kan tevens de mogelijkheid beheren om inhoud van de functie 'wat is er nieuw' te selecteren, de selectie van inhoud op te heffen en inhoud te publiceren naar apparaten van eindgebruikers. 2b745bdf-0803-4d80-aa65-822c4493daac
Huisstijlbeheerder van organisatie Beheer alle aspecten van de huisstijl van de organisatie in een tenant. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Fiatteur voor organisatieberichten Controleer, keur nieuwe organisatieberichten goed of af voor bezorging in de Microsoft 365-beheercentrum voordat ze naar gebruikers worden verzonden. e48398e2-f4bb-4074-8f31-4586725e205b
Schrijver van organisatieberichten Schrijf, publiceer, beheer en controleer de organisatieberichten voor eindgebruikers via Microsoft-productoppervlakken. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Ondersteuning voor partnerlaag1 Niet gebruiken – niet bedoeld voor algemeen gebruik.
Pictogram voor bevoegd label.
4ba39ca4-527c-499a-b93d-d9b492c50246
Ondersteuning voor Partner Tier2 Niet gebruiken – niet bedoeld voor algemeen gebruik.
Pictogram voor bevoegd label.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Wachtwoordbeheerder Kan wachtwoorden voor niet-beheerders en wachtwoordbeheerders opnieuw instellen.
Pictogram voor bevoegd label.
966707d0-3269-4727-9be2-8c3a10f19b9d
Beheerder van machtigingenbeheer Beheer alle aspecten van Microsoft Entra-machtigingsbeheer. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform-beheerder Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate maken en beheren. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Printerbeheerder Kan alle aspecten van printers en printerconnectors beheren. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Printertechnicus Kan printers registreren, de registratie hiervan ongedaan maken en de printerstatus bijwerken. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Beheerder van bevoegde verificatie Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker (beheerder of niet-beheerder).
Pictogram voor bevoegd label.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Beheerder voor bevoorrechte rollen Kan roltoewijzingen beheren in Microsoft Entra ID en alle aspecten van Privileged Identity Management.
Pictogram voor bevoegd label.
e8611ab8-c189-46e8-94e1-60213ab1f814
Rapportlezer Kan aanmeldings- en auditrapporten lezen. 4a5d8f65-41da-4de4-8968-e035b65339cf
Zoekbeheerder Kan alle aspecten van Microsoft Search-instellingen maken en beheren. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Zoekeditor Kan de redactionele inhoud maken en beheren, zoals bladwijzers, vragen en antwoorden, locaties en plattegronden. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Beveiligingsbeheerder Kan beveiligingsgegevens en -rapporten lezen en de configuratie beheren in Microsoft Entra-id en Office 365.
Pictogram voor bevoegd label.
194ae4cb-b126-40b2-bd5b-6091b380977d
Beveiligingsoperator Kan beveiligingsgebeurtenissen maken en beheren.
Pictogram voor bevoegd label.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Beveiligingslezer Kan beveiligingsgegevens en -rapporten lezen in Microsoft Entra ID en Office 365.
Pictogram voor bevoegd label.
5d6b6bb7-de71-4623-b4af-96380a352509
Serviceondersteuningsbeheerder Kan gegevens over de servicestatus lezen en ondersteuningstickets beheren. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint-beheerder Kan alle aspecten van de SharePoint-service beheren. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
SharePoint Embedded-beheerder Alle aspecten van SharePoint Embedded-containers beheren. 1a7d78b6-429f-476b-b8eb-35fb715fffd4
Skype voor Bedrijven-beheerder Kan alle aspecten van het Skype voor Bedrijven-product beheren. 75941009-915a-4869-abe7-691bff18279e
Teams-beheerder Kan de Microsoft Teams-service beheren. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams-communicatiebeheerder Kan de aanroep- en vergaderfuncties van de Microsoft Teams-service beheren. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams Communications Support Engineer Kan communicatieproblemen in Teams oplossen met geavanceerde hulpprogramma's. f70938a0-fc10-4177-9e90-2178f8765737
Teams Communications Support Specialist Kan communicatieproblemen in Teams oplossen met basishulpprogramma's. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams-apparaatbeheerder Kan beheertaken uitvoeren op voor Teams gecertificeerde apparaten. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Teams Telefoniebeheerder Beheer spraak- en telefoniefuncties en los communicatieproblemen in de Microsoft Teams-service op. aa38014f-0993-46e9-9b45-30501a20909d
Maker van tenant Maak nieuwe Microsoft Entra- of Azure AD B2C-tenants. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lezer van gebruiksoverzichtsrapporten Lees gebruiksrapporten en acceptatiescore, maar heeft geen toegang tot gebruikersgegevens. 75934031-6c7e-415a-99d7-48dbd49e875e
Gebruikersbeheerder Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders.
Pictogram voor bevoegd label.
fe930be7-5e62-47db-91af-98c3a49a38b1
Success Manager van gebruikerservaring Bekijk productfeedback, enquêteresultaten en rapporten om trainings- en communicatiemogelijkheden te vinden. 27460883-1df1-4691-b032-3b79643e5e63
Beheerder voor virtuele bezoeken Kan informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals Administrator Beheer en configureer alle aspecten van Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse-beheerder Kan alle instellingen voor de Microsoft Viva Pulse-app beheren. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365-beheerder Kan alle aspecten van cloud-pc's inrichten en beheren. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update-implementatiebeheerder Kan alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer-beheerder Kan alle aspecten van de Yammer-service beheren. 810a2642-a034-447f-a5e8-41beaa378541

AI-beheerder

Wijs de rol AI-beheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van Microsoft 365 Copilot beheren
  • AI-gerelateerde bedrijfsservices, uitbreidbaarheid en copilot-agents beheren vanaf de pagina Geïntegreerde apps in de Microsoft 365-beheercentrum
  • Line-Of-Business Copilot-agents goedkeuren en publiceren
  • Gebruikers toestaan een app te installeren of een app te installeren voor gebruikers in de organisatie als de app geen machtiging nodig heeft
  • Dashboards voor azure- en Microsoft 365-servicestatus lezen en configureren
  • Gebruiksrapporten, acceptatie-inzichten en organisatie-inzicht weergeven
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.copilot/allEntities/allProperties/allTasks Alle instellingen voor Microsoft 365 Copilot maken en beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Toepassingsbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Azure AD Graph en Microsoft Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld andere Microsoft-apps, apps van derden of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen (dat wil gezegd, toestemming geven) voor deze machtigingen is een meer bevoegde beheerder vereist, zoals Beheerder van bevoorrechte rollen.

Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleid maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleidsregels verwijderen
microsoft.directory/applicationPolicies/owners/read De eigenaren van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/owners/update De eigenaarseigenschap van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/policyAppliedTo/read Toepassingsbeleid dat is toegepast op de objectenlijst lezen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applications/applicationProxyAuthentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/applicationProxy/read Alle eigenschappen van de toepassingsproxy lezen
microsoft.directory/applications/applicationProxySslCertificate/update SSL-certificaatinstellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxy/update Alle eigenschappen van de toepassingsproxy bijwerken
microsoft.directory/applications/applicationProxyUrlSettings/update URL-instellingen voor toepassingsproxy bijwerken
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
Pictogram voor bevoegd label.
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update De eigenschap applicationsverification bijwerken
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor privénetwerken lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van connectorgroepen voor privénetwerken bijwerken
microsoft.directory/connectorGroups/create Privénetwerkconnectorgroepen maken
microsoft.directory/connectorGroups/delete Groepen voor privénetwerkconnector verwijderen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van privénetwerkconnectors lezen
microsoft.directory/connectors/create Privénetwerkconnectors maken
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Aangepaste verificatie-extensies maken en beheren
Pictogram voor bevoegd label.
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Toepassingsontwikkelaar

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee. Deze rol biedt ook de mogelijkheid om namens zichzelf toestemming te geven wanneer de instelling 'Gebruikers kunnen toestaan dat apps namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.

Acties Beschrijving
microsoft.directory/applications/createAsOwner Alle typen toepassingen maken, en de maker wordt toegevoegd als de eerste eigenaar
microsoft.directory/oAuth2PermissionGrants/createAsOwner OAuth 2.0-machtigingsverlening maken, met maker als eerste eigenaar
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/createAsOwner Service-principals maken, met maker als eerste eigenaar

Auteur van aanvalspayload

Gebruikers met deze rol kunnen aanvalspayloads maken, maar kunnen de payloads niet starten of plannen. De aanvalspayloads zijn vervolgens beschikbaar voor alle beheerders in de tenant, die de payloads kunnen gebruiken om een simulatie te maken.

Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training

Beheerder van aanvalssimulatie

Gebruikers met deze rol kunnen alle aspecten van het maken van aanvalssimulaties, het starten/plannen van een simulatie en het beoordelen van de simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.

Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.

Acties Beschrijving
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie

Kenmerktoewijzingsbeheerder

Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden toewijzen en verwijderen voor ondersteunde Microsoft Entra-objecten, zoals gebruikers, service-principals en apparaten.

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Aangepaste waarden voor beveiligingskenmerken lezen voor door Microsoft Entra beheerde identiteiten
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aangepaste beveiligingskenmerkwaarden bijwerken voor door Microsoft Entra beheerde identiteiten
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen
microsoft.directory/devices/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen
microsoft.directory/devices/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor apparaten bijwerken
microsoft.directory/servicePrincipals/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen
microsoft.directory/servicePrincipals/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor service-principals bijwerken
microsoft.directory/users/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen
microsoft.directory/users/customSecurityAttributes/update Waarden voor aangepaste beveiligingskenmerken voor gebruikers bijwerken

Lezer van kenmerktoewijzing

Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden lezen voor ondersteunde Microsoft Entra-objecten.

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Aangepaste waarden voor beveiligingskenmerken lezen voor door Microsoft Entra beheerde identiteiten
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen
microsoft.directory/devices/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen
microsoft.directory/servicePrincipals/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen
microsoft.directory/users/customSecurityAttributes/read Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen

Kenmerkdefinitiebeheerder

Gebruikers met deze rol kunnen een geldige set aangepaste beveiligingskenmerken definiëren die kunnen worden toegewezen aan ondersteunde Microsoft Entra-objecten. Met deze rol kunnen ook aangepaste beveiligingskenmerken worden geactiveerd en gedeactiveerd.

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/allTasks Alle aspecten van kenmerkensets beheren
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren

Lezer van kenmerkdefinitie

Gebruikers met deze rol kunnen de definitie van aangepaste beveiligingskenmerken lezen.

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.directory/attributeSets/allProperties/read Alle eigenschappen van kenmerksets lezen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen

Kenmerklogboekbeheerder

Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
  • Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities
  • Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken

Gebruikers met deze rol kunnen geen auditlogboeken lezen voor andere gebeurtenissen.

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Alle aspecten van diagnostische instellingen voor aangepaste beveiligingskenmerken configureren
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken

Kenmerklogboeklezer

Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
  • Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities

Gebruikers met deze rol kunnen de volgende taken niet uitvoeren:

  • Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken
  • Auditlogboeken lezen voor andere gebeurtenissen

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Acties Beschrijving
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken

Verificatiebeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Wijs de rol Verificatiebeheerder toe aan gebruikers die het volgende moeten doen:

  • Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor niet-beheerders en sommige rollen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een verificatiebeheerder verificatiemethoden kan lezen of bijwerken.
  • Vereisen dat gebruikers die niet-beheerders zijn of aan bepaalde rollen zijn toegewezen om zich opnieuw te registreren tegen bestaande referenties voor niet-wachtwoord (bijvoorbeeld MFA of FIDO), en die ook MFA kunnen intrekken op het apparaat, waarmee MFA wordt gevraagd bij de volgende aanmelding.
  • MFA-instellingen beheren in de verouderde MFA-beheerportal.
  • Voer gevoelige acties uit voor sommige gebruikers. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
  • Kan hardware-OATH-tokens niet beheren.

In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Ja No Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Beheerder van bevoegde verificatie Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nr. Ja Ja Ja Ja No Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra-id en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
  • Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/delete Gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Verificatie-uitbreidbaarheidsbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Wijs de rol Authentication Extensibility Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van aangepaste verificatie-extensies maken en beheren.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan geen aangepaste verificatie-extensies toewijzen aan toepassingen om de verificatieervaringen te wijzigen en kan geen toestemming geven voor toepassingsmachtigingen of app-registraties maken die zijn gekoppeld aan de aangepaste verificatie-extensie. In plaats daarvan moet u de rollen Toepassingsbeheerder, Toepassingsontwikkelaar of Cloudtoepassingsbeheerder gebruiken.

Een aangepaste verificatie-extensie is een API-eindpunt dat is gemaakt door een ontwikkelaar voor verificatie-gebeurtenissen en is geregistreerd in Microsoft Entra-id. Toepassingsbeheerders en toepassingseigenaren kunnen aangepaste verificatie-extensies gebruiken om de verificatie-ervaringen van hun toepassing aan te passen, zoals aanmelden en registreren of wachtwoordherstel.

Meer informatie

Acties Beschrijving
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Aangepaste verificatie-extensies maken en beheren
Pictogram voor bevoegd label.

Beheerder van verificatiebeleid

Wijs de rol Verificatiebeleidbeheerder toe aan gebruikers die het volgende moeten doen:

  • Configureer het beleid voor verificatiemethoden, tenantbrede MFA-instellingen en wachtwoordbeveiligingsbeleid waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
  • Instellingen voor wachtwoordbeveiliging beheren: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.
  • MFA-instellingen beheren in de verouderde MFA-beheerportal.
  • Verifieerbare referenties maken en beheren.
  • Maak en beheer ondersteuning voor Azure tickets.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan gevoelige eigenschappen niet bijwerken. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
  • Kan gebruikers niet verwijderen of herstellen. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
  • Kan hardware-OATH-tokens niet beheren.

In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Ja No Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Beheerder van bevoegde verificatie Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nr. Ja Ja Ja Ja No Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Acties Beschrijving
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/organization/strongAuthentication/allTasks Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren
microsoft.directory/userCredentialPolicies/basic/update Basisbeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/create Referentiebeleid voor gebruikers maken
microsoft.directory/userCredentialPolicies/delete Referentiebeleid voor gebruikers verwijderen
microsoft.directory/userCredentialPolicies/owners/read Eigenaren van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/owners/update Eigenaren van referentiebeleid voor gebruikers bijwerken
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Navigatiekoppeling policy.appliesTo lezen
microsoft.directory/userCredentialPolicies/standard/read Standaardeigenschappen van referentiebeleid voor gebruikers lezen
microsoft.directory/userCredentialPolicies/tenantDefault/update Eigenschap policy.isOrganizationDefault bijwerken
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een contract met verifieerbare referenties bijwerken
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een kaart met verifieerbare referenties intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een contract met verifieerbare referenties maken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen

Azure DevOps-beheerder

Gebruikers met deze rol kunnen alle Azure DevOps-beleidsregels voor ondernemingen beheren, die van toepassing zijn op alle Azure DevOps-organisaties die worden ondersteund door Microsoft Entra-id. Gebruikers in deze rol kunnen dit beleid beheren door te navigeren naar elke Azure DevOps-organisatie die wordt ondersteund door de Microsoft Entra-id van het bedrijf. Daarnaast kunnen gebruikers met deze rol eigendom van zwevende Azure DevOps-organisaties claimen. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld beheerders van projectverzamelingen) binnen een van de Azure DevOps-organisaties die worden ondersteund door de Microsoft Entra-organisatie van het bedrijf.

Acties Beschrijving
microsoft.azure.devOps/allEntities/allTasks Azure DevOps lezen en configureren

Azure Information Protection-beheerder

Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection-service. Met deze rol kunt u labels configureren voor het Azure Information Protection-beleid, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-portal of Microsoft Purview-nalevingsportal.

Acties Beschrijving
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van B2C IEF-sleutelset

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder geheimen indien nodig verlengen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs nadat ze zijn gemaakt.

Belangrijk

Dit is een gevoelige rol. De rol Sleutelsetbeheerder moet zorgvuldig worden gecontroleerd en met zorg worden toegewezen tijdens preproductie en productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Sleutelsets in Azure Active Directory B2C lezen en configureren
Pictogram voor bevoegd label.

Beheerder van B2C IEF-beleid

Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over het Identity Experience Framework in de relevante Azure AD B2C-organisatie. Door beleidsregels te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersgerichte inhoud (HTML, CSS, JavaScript) wijzigen, de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens (inclusief volledige migraties) verzenden naar externe systemen en alle gebruikersgegevens bewerken, inclusief gevoelige velden zoals wachtwoorden en telefoonnummers. Omgekeerd kan deze rol niet de versleutelingssleutels wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.

Belangrijk

De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauw worden gecontroleerd, met name voor organisaties in productie.

Acties Beschrijving
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Aangepaste beleidsregels in Azure Active Directory B2C lezen en configureren

Factureringsbeheerder

Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.commerce.billing/allEntities/allProperties/allTasks Alle aspecten van Office 365-facturering beheren
microsoft.directory/organization/basic/update Basiseigenschappen voor organisatie bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Cloud App Security-beheerder

Gebruikers met deze rol hebben volledige machtigingen in Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen voor Microsoft Defender for Cloud Apps toevoegen, logboeken uploaden en beheeracties uitvoeren.

Acties Beschrijving
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van de cloudtoepassing

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Deze rol biedt de mogelijkheid om alle aspecten van bedrijfstoepassingen en toepassingsregistraties te maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.

Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Azure AD Graph en Microsoft Graph.

Belangrijk

Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld andere Microsoft-apps, apps van derden of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen (dat wil gezegd, toestemming geven) voor deze machtigingen is een meer bevoegde beheerder vereist, zoals Beheerder van bevoorrechte rollen.

Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id
microsoft.directory/applicationPolicies/basic/update Standaardeigenschappen van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/create Toepassingsbeleid maken
microsoft.directory/applicationPolicies/delete Toepassingsbeleidsregels verwijderen
microsoft.directory/applicationPolicies/owners/read De eigenaren van toepassingsbeleidsregels lezen
microsoft.directory/applicationPolicies/owners/update De eigenaarseigenschap van toepassingsbeleid bijwerken
microsoft.directory/applicationPolicies/policyAppliedTo/read Toepassingsbeleid dat is toegepast op de objectenlijst lezen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
Pictogram voor bevoegd label.
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applications/verification/update De eigenschap applicationsverification bijwerken
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/credentials/update Referenties van service-principals bijwerken
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals beheren
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Wachtwoordreferenties voor eenmalig aanmelden op service-principals lezen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Toestemming verlenen voor toepassingsmachtigingen en gedelegeerde machtigingen namens elke gebruiker of alle gebruikers, met uitzondering van toepassingsmachtigingen voor Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Cloudapparaatbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen apparaten in Microsoft Entra-id inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels (indien aanwezig) lezen in Azure Portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/deletedItems.devices/delete Apparaten permanent verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/deviceLocalCredentials/password/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen bijwerken voor Mobile Device Management en Mobile App Management-beleid
Pictogram voor bevoegd label.
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken
Pictogram voor bevoegd label.
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/devices/delete Apparaten verwijderen uit Microsoft Entra-id
microsoft.directory/devices/disable Apparaten uitschakelen in Microsoft Entra-id
microsoft.directory/devices/enable Apparaten inschakelen in Microsoft Entra-id
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren

Nalevingsbeheerder

Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsgerelateerde functies in de portal van Microsoft Purview-nalevingsportal, Microsoft 365-beheercentrum, Azure en Microsoft 365 Defender. Toegewezen personen kunnen ook alle functies in het Exchange-beheercentrum beheren en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Naleving van Microsoft Purview voor meer informatie.

In Wel
Microsoft Purview-nalevingsportal De gegevens van uw organisatie beveiligen en beheren in Microsoft 365-services
Nalevingswaarschuwingen beheren
Microsoft Purview Compliancebeheer De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren
Microsoft 365 Defender-portal Gegevensbeheer beheren
Juridisch en gegevensonderzoek uitvoeren
Aanvraag van betrokkene beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Compliancebeheerder in de Microsoft 365 Defender-portal op basis van toegangsbeheer op basis van rollen.
Intune Alle Intune-controlegegevens bekijken
Microsoft Defender voor Cloud-apps Heeft alleen-lezen machtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van nalevingsgegevens

Gebruikers met deze rol hebben machtigingen voor het bijhouden van gegevens in de Microsoft Purview-nalevingsportal, het Microsoft 365-beheercentrum en Azure. Gebruikers kunnen ook nalevingsgegevens bijhouden in het Exchange-beheercentrum, Compliancebeheer en Teams & Skype voor Bedrijven-beheercentrum en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over de verschillen tussen Compliancebeheerder en Compliancegegevensbeheerder voor naleving van naleving van Compliance.

In Wel
Microsoft Purview-nalevingsportal Nalevingsgerelateerde beleidsregels bewaken in Microsoft 365-services
Nalevingswaarschuwingen beheren
Microsoft Purview Compliancebeheer De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren
Microsoft 365 Defender-portal Gegevensbeheer beheren
Juridisch en gegevensonderzoek uitvoeren
Aanvraag van betrokkene beheren

Deze rol heeft dezelfde machtigingen als de rolgroep Compliancegegevensbeheerder in microsoft 365 Defender-portal op rollen gebaseerd toegangsbeheer.
Intune Alle Intune-controlegegevens bekijken
Microsoft Defender voor Cloud-apps Heeft alleen-lezen machtigingen en kan waarschuwingen beheren
Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan
Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken
Acties Beschrijving
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor voorwaardelijke toegang

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen voor voorwaardelijke toegang van Microsoft Entra beheren.

Acties Beschrijving
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren bijwerken voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365
Pictogram voor bevoegd label.

Toegangsfiatteur voor Klanten-lockbox

Beheert Microsoft Purview Customer Lockbox-aanvragen in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox-aanvragen en kunnen aanvragen van het Microsoft 365-beheercentrum goedkeuren en weigeren. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden van personen die aan deze rol zijn toegewezen, opnieuw instellen.

Acties Beschrijving
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Desktop Analytics-beheerder

Gebruikers met deze rol kunnen de Desktop Analytics-service beheren. Dit omvat de mogelijkheid om de assetvoorraad te bekijken, implementatieplannen te maken en de implementatie- en gezondheidsstatus te bekijken.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van Desktop Analytics beheren

Lezers van mappen

Gebruikers met deze rol kunnen basisdirectorygegevens lezen Deze rol moet worden gebruikt voor:

  • Het verlenen van leestoegang aan een specifieke set gastgebruikers in plaats van aan alle gastgebruikers.
  • Het verlenen van een specifieke set niet-beheerderstoegang tot het Microsoft Entra-beheercentrum wanneer 'Toegang tot het Microsoft Entra-beheercentrum beperken' is ingesteld op Ja.
  • Het verlenen van toegang tot directory aan service-principals waarbij Directory.Read.All geen optie is.
Acties Beschrijving
microsoft.directory/administrativeUnits/members/read Leden van beheereenheden lezen
microsoft.directory/administrativeUnits/standard/read Basiseigenschappen voor beheereenheden lezen
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applications/owners/read Eigenaren van toepassingen lezen
microsoft.directory/applications/policies/read Beleid van toepassingen lezen
microsoft.directory/applications/standard/read Standaardeigenschappen van toepassingen lezen
microsoft.directory/contacts/memberOf/read Lees het groepslidmaatschap voor alle contactpersonen in Microsoft Entra ID
microsoft.directory/contacts/standard/read Basiseigenschappen voor contactpersonen lezen in Microsoft Entra-id
microsoft.directory/contracts/standard/read Basiseigenschappen voor partnercontracten lezen
microsoft.directory/devices/memberOf/read Apparaatlidmaatschappen lezen
microsoft.directory/devices/registeredOwners/read Geregistreerde eigenaren van apparaten lezen
microsoft.directory/devices/registeredUsers/read Geregistreerde gebruikers van apparaten lezen
microsoft.directory/devices/standard/read Basiseigenschappen voor apparaten lezen
microsoft.directory/directoryRoles/eligibleMembers/read De in aanmerking komende leden van Microsoft Entra-rollen lezen
microsoft.directory/directoryRoles/members/read Alle leden van Microsoft Entra-rollen lezen
microsoft.directory/directoryRoles/standard/read Basiseigenschappen van Microsoft Entra-rollen lezen
microsoft.directory/domains/standard/read Basiseigenschappen voor domeinen lezen
microsoft.directory/groups/appRoleAssignments/read Toewijzingen van toepassingsrollen van groepen lezen
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor sjablonen voor groepsinstellingen lezen
microsoft.directory/groups/memberOf/read De eigenschap memberOf lezen voor beveiligingsgroepen en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/read Leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/read Eigenaren van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/settings/read Instellingen van groepen lezen
microsoft.directory/groups/standard/read Standaardeigenschappen van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/standard/read Basiseigenschappen voor OAuth 2.0-machtigingsverlening lezen
microsoft.directory/organization/standard/read Basiseigenschappen voor een organisatie lezen
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Vertrouwde certificeringsinstanties voor verificatie zonder wachtwoord lezen
microsoft.directory/roleAssignments/standard/read Basiseigenschappen voor roltoewijzingen lezen
microsoft.directory/roleDefinitions/standard/read Basiseigenschappen voor roldefinities lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Roltoewijzingen van service-principals lezen
microsoft.directory/servicePrincipals/appRoleAssignments/read Roltoewijzingen lezen die aan service-principals zijn toegewezen
microsoft.directory/servicePrincipals/memberOf/read De groepslidmaatschappen voor service-principals lezen
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Gedelegeerde machtigingsverleningen van service-principals lezen
microsoft.directory/servicePrincipals/ownedObjects/read Objecten in eigendom van service-principals lezen
microsoft.directory/servicePrincipals/owners/read Eigenaren van service-principals lezen
microsoft.directory/servicePrincipals/policies/read Beleid van service-principals lezen
microsoft.directory/servicePrincipals/standard/read Basiseigenschappen van service-principals lezen
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/appRoleAssignments/read Toewijzingen van toepassingsrollen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read deviceForResourceAccount van gebruikers lezen
microsoft.directory/users/directReports/read De direct ondergeschikten voor gebruikers lezen
microsoft.directory/users/inviteBy/read De gebruiker lezen die een externe gebruiker heeft uitgenodigd voor een tenant
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Manager van gebruikers lezen
microsoft.directory/users/memberOf/read De groepslidmaatschappen van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingsverlening voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten in eigendom van gebruikers lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid
microsoft.directory/users/sponsors/read Sponsors van gebruikers lezen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen

Adreslijstsynchronisatieaccounts

Niet gebruiken. Deze rol wordt automatisch toegewezen aan de Microsoft Entra Connect-service en is niet bedoeld of ondersteund voor ander gebruik.

Acties Beschrijving
microsoft.directory/onPremisesSynchronization/standard/read Objecten lezen en beheren om on-premises adreslijstsynchronisatie in te schakelen

Adreslijstschrijvers

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen basisinformatie over gebruikers, groepen en service-principals lezen en bijwerken.

Acties Beschrijving
microsoft.directory/applications/extensionProperties/update Extensie-eigenschappen voor toepassingen bijwerken
microsoft.directory/contacts/create Contacten maken
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/basic/update Basiseigenschappen voor groepsinstellingen bijwerken
microsoft.directory/groupSettings/create Groepsinstellingen maken
microsoft.directory/groupSettings/delete Groepsinstellingen verwijderen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Connect
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/basic/update OAuth 2.0-machtigingsverlening bijwerken
Pictogram voor bevoegd label.
microsoft.directory/oAuth2PermissionGrants/create OAuth 2.0-machtigingsverlening maken
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Cloudtenant beheren voor het inrichten van geheimen en referenties voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Start, start de cloudtenant opnieuw op en onderbreek de synchronisatietaken voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cloudtenant maken en beheren voor het inrichten van synchronisatietaken en schema's voor cloudtenant-tenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/create Gebruikers toevoegen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/sponsors/update Sponsors van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.

Beheerder van domeinnamen

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook directorygegevens over gebruikers, groepen en toepassingen lezen, aangezien deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen configureren voor federatie, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Microsoft Entra-services met hun on-premises wachtwoorden via eenmalige aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Microsoft Entra Connect, zodat gebruikers ook gemachtigd zijn om Microsoft Entra Connect te beheren.

Acties Beschrijving
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Dynamics 365-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Dynamics 365 Online, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Servicebeheerdersrollen gebruiken om uw tenant te beheren voor meer informatie.

Notitie

In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Dynamics 365-servicebeheerder. In Azure Portal heet dit Dynamics 365-beheerder.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Dynamics 365 Business Central-beheerder

Wijs de rol Dynamics 365 Business Central-beheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Toegang tot Dynamics 365 Business Central-omgevingen
  • Alle beheertaken uitvoeren in omgevingen
  • De levenscyclus van de omgevingen van de klant beheren
  • De extensies controleren die zijn geïnstalleerd in omgevingen
  • Upgrades van omgevingen beheren
  • Gegevensexports uitvoeren van omgevingen
  • Dashboards voor azure- en Microsoft 365-servicestatus lezen en configureren

Deze rol biedt geen machtigingen voor andere Dynamics 365-producten.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/domains/standard/read Basiseigenschappen voor domeinen lezen
microsoft.directory/organization/standard/read Basiseigenschappen voor een organisatie lezen
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Alle aspecten van Dynamics 365 Business Central beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Edge-beheerder

Gebruikers in deze rol kunnen de lijst met bedrijfssites maken en beheren die vereist zijn voor de Internet Explorer-modus op Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt bovendien toegang tot het beheren van ondersteuningstickets. Meer informatie

Acties Beschrijving
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van Microsoft Edge beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Exchange-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.

Notitie

In de Microsoft Graph API en Microsoft Graph PowerShell heeft deze rol de naam Exchange-servicebeheerder. In De Azure-portal heeft deze de naam Exchange-beheerder. In het Exchange-beheercentrum heeft het de naam Exchange Online-beheerder.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Exchange Online-beveiligingsbeleid maken en beheren in Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Herstelsessie voor Exchange Online lezen en configureren in Microsoft 365 Backup
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde Exchange Online-postvakken in M365 Backup
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Postvakken beheren die zijn toegevoegd aan Exchange Online-beveiligingsbeleid in Microsoft 365 Backup
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Postvakken beheren die zijn toegevoegd om een sessie te herstellen voor Exchange Online in Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van Exchange-ontvangers

Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van deze ontvangers in Exchange Online. Zie Ontvangers in Exchange Server voor meer informatie.

Acties Beschrijving
microsoft.office365.exchange/migration/allProperties/allTasks Alle taken met betrekking tot migratie van ontvangers beheren in Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks Alle ontvangers maken en verwijderen en alle eigenschappen van ontvangers lezen en bijwerken in Exchange Online

Beheerder van externe id-gebruikersstromen

Gebruikers met deze rol kunnen gebruikersstromen (ook wel 'ingebouwde beleidsregels' genoemd) maken en beheren in de Azure-portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors en hun referenties beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Microsoft Entra-organisatie. Aan de andere kant bevat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework-beleidsregels (ook wel 'aangepaste beleidsregels' genoemd) vallen ook buiten het bereik van deze rol.

Acties Beschrijving
microsoft.directory/b2cUserFlow/allProperties/allTasks Gebruikersstroom in Azure Active Directory B2C lezen en configureren

Beheerder van externe id-gebruikersstroomkenmerken

Gebruikers met deze rol voegen aangepaste kenmerken toe of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Microsoft Entra-organisatie. Als zodanig kunnen gebruikers met deze rol elementen wijzigen of nieuwe toevoegen aan het eindgebruikersschema en het gedrag van alle gebruikersstromen beïnvloeden, wat indirect leidt tot wijzigingen in het soort gegevens waar eindgebruikers om kunnen worden gevraagd en die uiteindelijk als claims naar toepassingen worden verzonden. Gebruikers met deze rol kunnen geen gebruikersstromen bewerken.

Acties Beschrijving
microsoft.directory/b2cUserAttribute/allProperties/allTasks Gebruikerskenmerk in Azure Active Directory B2C lezen en configureren

Beheerder van externe id-providers

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Deze beheerder beheert federatie tussen Microsoft Entra-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Microsoft Entra-organisatie inschakelen om verificaties van externe id-providers te vertrouwen. De resulterende invloed op eindgebruikerservaringen is afhankelijk van het type organisatie:

  • Microsoft Entra-organisaties voor werknemers en partners: De toevoeging van een federatie (bijvoorbeeld met Gmail) heeft onmiddellijk invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als een id-provider voor B2B-gastgebruikers.
  • Azure Active Directory B2C-organisaties: de toevoeging van een federatie (bijvoorbeeld met Facebook of met een andere Microsoft Entra-organisatie) heeft niet onmiddellijk invloed op de stromen van eindgebruikers totdat de id-provider is toegevoegd als een optie in een gebruikersstroom (ook wel een ingebouwd beleid genoemd). Zie Een Microsoft-account configureren als een id-provider voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol 'Beheerder van B2C-gebruikersstromen' vereist.
Acties Beschrijving
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
Pictogram voor bevoegd label.
microsoft.directory/identityProviders/allProperties/allTasks Id-providers in Azure Active Directory B2C lezen en configureren
Pictogram voor bevoegd label.

Infrastructuurbeheerder

Gebruikers met deze rol hebben globale machtigingen in Microsoft Fabric en Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Understanding Fabric-beheerdersrollen voor meer informatie.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van Fabric en Power BI beheren

Globale beheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Microsoft Entra ID, evenals services die gebruikmaken van Microsoft Entra-identiteiten zoals de Microsoft 365 Defender-portal, de Microsoft Purview-nalevingsportal, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Globale beheerders kunnen directoryactiviteitslogboeken bekijken. Globale beheerders kunnen bovendien hun toegangsrechten uitbreiden, zodat ze alle Azure-abonnementen en -beheergroepen kunnen beheren. Hierdoor kunnen globale beheerders volledige toegang krijgen tot alle Azure-resources met behulp van de respectieve Microsoft Entra-tenant. De persoon die zich aanmeldt voor de Microsoft Entra-organisatie wordt een globale beheerder. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen. Een globale beheerder kan de toewijzing van een globale beheerder niet verwijderen. Dit is om te voorkomen dat een organisatie nul globale beheerders heeft.

Notitie

Als best practice raadt Microsoft u aan om de rol Globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices voor Microsoft Entra-rollen voor meer informatie.

Acties Beschrijving
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.informationProtection/allEntities/allTasks Alle aspecten van Azure Information Protection beheren
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.backup/allEntities/allProperties/allTasks Alle aspecten van Microsoft 365 Backup beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.commerce.billing/allEntities/allProperties/allTasks Alle aspecten van Office 365-facturering beheren
microsoft.commerce.billing/purchases/standard/read Lees aankoopservices in het M365-beheercentrum.
microsoft.directory/accessReviews/allProperties/allTasks (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id beheren
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Beleid voor beheerderstoestemmingsaanvragen beheren in Microsoft Entra-id
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden (inclusief leden) maken en beheren
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id
microsoft.directory/applications/allProperties/allTasks Toepassingen maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
Pictogram voor bevoegd label.
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Alle eigenschappen van beleid voor voorwaardelijke toegang beheren
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor privénetwerken lezen
microsoft.directory/connectorGroups/allProperties/update Alle eigenschappen van connectorgroepen voor privénetwerken bijwerken
microsoft.directory/connectorGroups/create Privénetwerkconnectorgroepen maken
microsoft.directory/connectorGroups/delete Groepen voor privénetwerkconnector verwijderen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van privénetwerkconnectors lezen
microsoft.directory/connectors/create Privénetwerkconnectors maken
microsoft.directory/contacts/allProperties/allTasks Contactpersonen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/contracts/allProperties/allTasks Partnercontracten maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/basic/update Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Instellingen voor directe verbinding met Microsoft Entra B2B bijwerken van het standaardtoegangsbeleid voor meerdere tenants
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Samenwerkingsinstellingen voor Microsoft Entra B2B bijwerken van toegangsbeleid voor meerdere tenants voor partners
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Microsoft Entra B2B-instellingen voor directe verbinding bijwerken van toegangsbeleid voor meerdere tenants voor partners
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/delete Toegangsbeleid voor meerdere tenants voor partners verwijderen
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Basisinstellingen van synchronisatiebeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Synchronisatiebeleid voor meerdere tenants maken voor partners
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Synchronisatiebeleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Sjabloon voor synchronisatiebeleid voor meerdere tenants opnieuw instellen op standaardinstellingen voor meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Beleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Sjabloon voor beleid voor meerdere tenants voor meerdere tenants opnieuw instellen op standaardinstellingen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Aangepaste verificatie-extensies maken en beheren
Pictogram voor bevoegd label.
microsoft.directory/deletedItems/delete Objecten die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems/restore Voorlopig verwijderde objecten terugzetten naar de oorspronkelijke status
microsoft.directory/deviceLocalCredentials/password/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord
microsoft.directory/deviceManagementPolicies/basic/update Basiseigenschappen bijwerken voor Mobile Device Management en Mobile App Management-beleid
Pictogram voor bevoegd label.
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid
microsoft.directory/deviceRegistrationPolicy/basic/update Basiseigenschappen voor beleidsregels voor apparaatregistratie bijwerken
Pictogram voor bevoegd label.
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/devices/allProperties/allTasks Apparaten maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/directoryRoles/allProperties/allTasks Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Microsoft Entra-rolsjablonen maken en verwijderen, en alle eigenschappen lezen en bijwerken
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/domains/federationConfiguration/basic/update Basisfederatieconfiguratie voor domeinen bijwerken
microsoft.directory/domains/federationConfiguration/create Federatieconfiguratie voor domeinen maken
microsoft.directory/domains/federationConfiguration/delete Federatieconfiguratie voor domeinen verwijderen
microsoft.directory/domains/federationConfiguration/standard/read Standaardeigenschappen van federatieconfiguratie voor domeinen lezen
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer
microsoft.directory/externalUserProfiles/basic/update Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams
microsoft.directory/externalUserProfiles/delete Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams
microsoft.directory/externalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/groups/allProperties/allTasks Groepen maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/groupsAssignableToRoles/allProperties/update Groepen bijwerken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/assignLicense Een licentie toewijzen aan groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Groepen verwijderen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Licentietoewijzingen opnieuw verwerken voor roltoewijsbare groepen
microsoft.directory/groupsAssignableToRoles/restore Groepen herstellen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/allProperties/allTasks Groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupSettingTemplates/allProperties/allTasks Sjablonen voor groepsinstellingen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hybride verificatiebeleid beheren in Microsoft Entra-id
Pictogram voor bevoegd label.
microsoft.directory/identityProtection/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Entra ID Protection
Pictogram voor bevoegd label.
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Alle aspecten van levenscycluswerkstromen en taken beheren in Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/allTasks loginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/multiTenantOrganization/basic/update Basiseigenschappen van een organisatie met meerdere tenants bijwerken
microsoft.directory/multiTenantOrganization/create Een organisatie met meerdere tenants maken
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Deelnemen aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/standard/read Basiseigenschappen van een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/tenants/create Een tenant maken in een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/delete Een tenant verwijderen die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Basiseigenschappen bijwerken van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/standard/read Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/onPremisesSynchronization/basic/update Basisinformatie over on-premises adreslijstsynchronisatie bijwerken
microsoft.directory/onPremisesSynchronization/standard/read Informatie over standaardsynchronisatie van on-premises adreslijstsynchronisatie lezen
microsoft.directory/organization/allProperties/allTasks Alle eigenschappen voor een organisatie lezen en bijwerken
microsoft.directory/passwordHashSync/allProperties/allTasks Alle aspecten van Wachtwoord-hashsynchronisatie (PHS) beheren in Microsoft Entra-id
microsoft.directory/pendingExternalUserProfiles/basic/update Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/create Externe gebruikersprofielen maken in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/delete Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/permissionGrantPolicies/basic/update Basiseigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/permissionGrantPolicies/create Beleid voor het verlenen van machtigingen maken
microsoft.directory/permissionGrantPolicies/delete Beleid voor het verlenen van machtigingen verwijderen
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/policies/allProperties/allTasks Beleid maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365
Pictogram voor bevoegd label.
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/serviceAction/activateService Kan de actie 'Service activeren' uitvoeren voor een service
microsoft.directory/serviceAction/disableDirectoryFeature Kan de serviceactie 'Directoryfunctie uitschakelen' uitvoeren
microsoft.directory/serviceAction/enableDirectoryFeature Kan de serviceactie 'Directoryfunctie inschakelen' uitvoeren
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipalCreationPolicies/basic/update Basiseigenschappen van beleidsregels voor het maken van service-principals bijwerken
microsoft.directory/servicePrincipalCreationPolicies/create Beleidsregels voor het maken van service-principals maken
microsoft.directory/servicePrincipalCreationPolicies/delete Beleid voor het maken van service-principals verwijderen
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen
microsoft.directory/servicePrincipals/allProperties/allTasks Service-principals maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke machtiging voor elke toepassing
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Cloudtenant beheren voor het inrichten van geheimen en referenties voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Start, start de cloudtenant opnieuw op en onderbreek de synchronisatietaken voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cloudtenant maken en beheren voor het inrichten van synchronisatietaken en schema's voor cloudtenant-tenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren.
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/allTasks Abonnementen kopen en beheren en abonnementen verwijderen
microsoft.directory/tenantManagement/tenants/create Nieuwe tenants maken in Microsoft Entra-id
microsoft.directory/users/allProperties/allTasks Gebruikers maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
Pictogram voor bevoegd label.
microsoft.directory/users/convertExternalToInternalMemberUser Externe gebruiker converteren naar interne gebruiker
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/allProperties/update Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Een contract met verifieerbare referenties bijwerken
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Een kaart met verifieerbare referenties intrekken
microsoft.directory/verifiableCredentials/configuration/contracts/create Een contract met verifieerbare referenties maken
microsoft.directory/verifiableCredentials/configuration/create Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/delete Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.edge/allEntities/allProperties/allTasks Alle aspecten van Microsoft Edge beheren
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate beheren
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Aspecten van Microsoft Graph Data Connect beheren
microsoft.hardware.support/shippingAddress/allProperties/allTasks Verzendadressen voor Microsoft-hardwaregarantieclaims maken, lezen, bijwerken en verwijderen, inclusief verzendadressen die door anderen zijn gemaakt
microsoft.hardware.support/shippingStatus/allProperties/read Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Alle aspecten van Microsoft-hardwaregarantieclaims maken en beheren
microsoft.insights/allEntities/allProperties/allTasks Alle aspecten van de Insights-app beheren
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune beheren
microsoft.networkAccess/allEntities/allProperties/allTasks Alle aspecten van Microsoft Entra-netwerktoegang beheren
microsoft.office365.complianceManager/allEntities/allTasks Alle aspecten van Office 365 Compliancebeheer beheren
microsoft.office365.desktopAnalytics/allEntities/allTasks Alle aspecten van Desktop Analytics beheren
microsoft.office365.exchange/allEntities/basic/allTasks Alle aspecten van Exchange Online beheren
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Alle aspecten van SharePoint Embedded-containers beheren
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren
microsoft.office365.knowledge/learningSources/allProperties/allTasks Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App
microsoft.office365.lockbox/allEntities/allTasks Alle aspecten van Klanten-lockbox beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.migrations/allEntities/allProperties/allTasks Alle aspecten van Microsoft 365-migraties beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Alle aspecten van de beveiligings- en nalevingscentrums beheren
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.securityComplianceCenter/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in het Office 365-beveiligings- en compliancecentrum
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/allTasks Alle aspecten van Yammer beheren
microsoft.permissionsManagement/allEntities/allProperties/allTasks Alle aspecten van Microsoft Entra-machtigingsbeheer beheren
microsoft.powerApps/allEntities/allTasks Alle aspecten van Power Apps beheren
microsoft.powerApps.powerBI/allEntities/allTasks Alle aspecten van Fabric en Power BI beheren
microsoft.teams/allEntities/allProperties/allTasks Alle resources in Teams beheren
microsoft.virtualVisits/allEntities/allProperties/allTasks Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken
microsoft.viva.goals/allEntities/allProperties/allTasks Alle aspecten van Microsoft Viva Goals beheren
microsoft.viva.pulse/allEntities/allProperties/allTasks Alle aspecten van Microsoft Viva Pulse beheren
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender voor Eindpunt beheren
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van Windows Update Service lezen en configureren

Algemene lezer

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365-services lezen, maar kunnen geen beheeracties uitvoeren. Globale lezer is de alleen-lezen tegenhanger voor Globale beheerder. Wijs Globale lezer in plaats van Globale beheerder toe voor planning, audits of onderzoeken. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange-beheerder, om het gemakkelijker te maken werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal, Azure Portal en Apparaatbeheer-beheercentrum.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan geen toegang krijgen tot het gebied Services aanschaffen in de Microsoft 365-beheercentrum.

Notitie

De rol Globale lezer heeft de volgende beperkingen:

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.backup/allEntities/allProperties/read Alle aspecten van Microsoft 365 Backup lezen
microsoft.cloudPC/allEntities/allProperties/read Alle aspecten van Windows 365 lezen
microsoft.commerce.billing/allEntities/allProperties/read Alle resources van Office 365-facturering lezen
microsoft.commerce.billing/purchases/standard/read Lees aankoopservices in het M365-beheercentrum.
microsoft.directory/accessReviews/allProperties/read (Afgeschaft) Alle eigenschappen van toegangsbeoordelingen lezen
microsoft.directory/accessReviews/definitions/allProperties/read Lees alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id
microsoft.directory/adminConsentRequestPolicy/allProperties/read Alle eigenschappen van beleid voor beheerderstoestemmingsaanvragen lezen in Microsoft Entra-id
microsoft.directory/administrativeUnits/allProperties/read Alle eigenschappen van beheereenheden lezen, inclusief leden
microsoft.directory/appConsent/appConsentRequests/allProperties/read Alle eigenschappen van toestemmingsaanvragen lezen voor toepassingen die zijn geregistreerd bij Microsoft Entra-id
microsoft.directory/applications/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) voor alle typen toepassingen lezen
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/cloudAppSecurity/allProperties/read Alle eigenschappen voor Defender for Cloud Apps lezen
microsoft.directory/conditionalAccessPolicies/allProperties/read Alle eigenschappen van beleid voor voorwaardelijke toegang lezen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor privénetwerken lezen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van privénetwerkconnectors lezen
microsoft.directory/contacts/allProperties/read Alle eigenschappen voor contactpersonen lezen
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/customAuthenticationExtensions/allProperties/read Aangepaste verificatie-extensies lezen
microsoft.directory/deviceLocalCredentials/standard/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/devices/allProperties/read Alle eigenschappen van apparaten lezen
microsoft.directory/directoryRoles/allProperties/read Alle eigenschappen van directoryrollen lezen
microsoft.directory/directoryRoleTemplates/allProperties/read Alle eigenschappen van sjablonen voor directoryrollen lezen
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/domains/federationConfiguration/standard/read Standaardeigenschappen van federatieconfiguratie voor domeinen lezen
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen
microsoft.directory/externalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/groups/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupSettings/allProperties/read Alle eigenschappen van groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/allProperties/read Alle eigenschappen van sjablonen voor groepsinstellingen lezen
microsoft.directory/identityProtection/allProperties/read Alle resources lezen in Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Alle eigenschappen van levenscycluswerkstromen en taken lezen in Microsoft Entra-id
microsoft.directory/loginOrganizationBranding/allProperties/read Alle eigenschappen voor de aanmeldingspagina van uw organisatie lezen
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/standard/read Basiseigenschappen van een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/standard/read Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/oAuth2PermissionGrants/allProperties/read Alle eigenschappen van OAuth 2.0-machtigingsverlening lezen
microsoft.directory/organization/allProperties/read Alle eigenschappen voor een organisatie lezen
microsoft.directory/pendingExternalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.directory/policies/allProperties/read Alle eigenschappen van beleid lezen
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/roleAssignments/allProperties/read Alle eigenschappen van roltoewijzingen lezen
microsoft.directory/roleDefinitions/allProperties/read Alle eigenschappen van roldefinities lezen
microsoft.directory/scopedRoleMemberships/allProperties/read Leden in beheereenheden bekijken
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan de serviceactie getAvailableExtentionProperties uitvoeren
microsoft.directory/servicePrincipalCreationPolicies/standard/read Standaardeigenschappen van beleidsregels voor het maken van service-principals lezen
microsoft.directory/servicePrincipals/allProperties/read Alle eigenschappen (inclusief bevoorrechte eigenschappen) in service-principals lezen
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/subscribedSkus/allProperties/read Alle eigenschappen van productabonnementen lezen
microsoft.directory/users/allProperties/read Alle eigenschappen van gebruikers lezen
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Standaardeigenschappen van verificatiemethoden lezen die geen persoonsgegevens voor gebruikers bevatten
microsoft.directory/verifiableCredentials/configuration/allProperties/read Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Een contract met verifieerbare referenties lezen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Een kaart met verifieerbare referenties lezen
microsoft.edge/allEntities/allProperties/read Alle aspecten van Microsoft Edge lezen
microsoft.graph.dataConnect/allEntities/allProperties/read Aspecten van Microsoft Graph Data Connect lezen
microsoft.hardware.support/shippingAddress/allProperties/read Verzendadressen lezen voor Microsoft-hardwaregarantieclaims, inclusief bestaande verzendadressen die door anderen zijn gemaakt
microsoft.hardware.support/shippingStatus/allProperties/read Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen
microsoft.hardware.support/warrantyClaims/allProperties/read Microsoft-hardwaregarantieclaims lezen
microsoft.insights/allEntities/allProperties/read Alle aspecten van Viva Insights lezen
microsoft.networkAccess/allEntities/allProperties/read Alle aspecten van Microsoft Entra-netwerktoegang lezen
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Entiteiten en machtigingen van SharePoint Embedded-containers lezen
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365-organisatieberichten lezen
microsoft.office365.protectionCenter/allEntities/allProperties/read Alle eigenschappen in de beveiligings- en nalevingscentrums lezen
microsoft.office365.securityComplianceCenter/allEntities/read Standaardeigenschappen in het Microsoft 365-centrum voor beveiliging en naleving lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/read Alle aspecten van Yammer lezen
microsoft.permissionsManagement/allEntities/allProperties/read Alle aspecten van Microsoft Entra-machtigingsbeheer lezen
microsoft.teams/allEntities/allProperties/read Alle eigenschappen van Microsoft Teams lezen
microsoft.virtualVisits/allEntities/allProperties/read Alle aspecten van virtuele bezoeken lezen
microsoft.viva.goals/allEntities/allProperties/read Alle aspecten van Microsoft Viva Goals lezen
microsoft.viva.pulse/allEntities/allProperties/read Alle aspecten van Microsoft Viva Pulse lezen
microsoft.windows.updatesDeployments/allEntities/allProperties/read Alle aspecten van Windows Update Service lezen

Globale beheerder voor beveiligde toegang

Wijs de rol Globale beveiligingstoegangsbeheerder toe aan gebruikers die het volgende moeten doen:

  • Alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang maken en beheren
  • Toegang tot openbare en privé-eindpunten beheren

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan geen bedrijfstoepassingen, toepassingsregistraties, voorwaardelijke toegang of toepassingsproxy-instellingen beheren

Meer informatie

Acties Beschrijving
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/applicationPolicies/standard/read Standaardeigenschappen van toepassingsbeleidsregels lezen
microsoft.directory/applications/applicationProxy/read Alle eigenschappen van de toepassingsproxy lezen
microsoft.directory/applications/owners/read Eigenaren van toepassingen lezen
microsoft.directory/applications/policies/read Beleid van toepassingen lezen
microsoft.directory/applications/standard/read Standaardeigenschappen van toepassingen lezen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/connectorGroups/allProperties/read Alle eigenschappen van connectorgroepen voor privénetwerken lezen
microsoft.directory/connectors/allProperties/read Alle eigenschappen van privénetwerkconnectors lezen
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.networkAccess/allEntities/allProperties/allTasks Alle aspecten van Microsoft Entra-netwerktoegang beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Groepsbeheerder

Gebruikers met deze rol kunnen groepen en groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren. Het is belangrijk om te begrijpen dat de gebruiker die deze rol krijgt toegewezen, alle groepen in de organisatie kan beheren voor verschillende workloads, zoals Teams, SharePoint, Yammer en Outlook. De gebruiker kan ook de verschillende groepsinstellingen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, de Azure-portal en workloadspecifieke portals zoals het Teams- en SharePoint-beheercentrum.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/deletedItems.groups/delete Groepen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Connect
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Afzender van gastuitnodigingen

Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren wanneer de leden gebruikersinstelling kunnen uitnodigen , is ingesteld op Nee. Meer informatie over B2B-samenwerking op About Microsoft Entra B2B collaboration. Het bevat geen andere machtigingen.

Acties Beschrijving
microsoft.directory/users/appRoleAssignments/read Toewijzingen van toepassingsrollen voor gebruikers lezen
microsoft.directory/users/deviceForResourceAccount/read deviceForResourceAccount van gebruikers lezen
microsoft.directory/users/directReports/read De direct ondergeschikten voor gebruikers lezen
microsoft.directory/users/inviteBy/read De gebruiker lezen die een externe gebruiker heeft uitgenodigd voor een tenant
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/licenseDetails/read Licentiegegevens van gebruikers lezen
microsoft.directory/users/manager/read Manager van gebruikers lezen
microsoft.directory/users/memberOf/read De groepslidmaatschappen van gebruikers lezen
microsoft.directory/users/oAuth2PermissionGrants/read Gedelegeerde machtigingsverlening voor gebruikers lezen
microsoft.directory/users/ownedDevices/read Apparaten in eigendom van gebruikers lezen
microsoft.directory/users/ownedObjects/read Objecten in eigendom van gebruikers lezen
microsoft.directory/users/photo/read Foto van gebruikers lezen
microsoft.directory/users/registeredDevices/read Geregistreerde apparaten van gebruikers lezen
microsoft.directory/users/scopedRoleMemberOf/read Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid
microsoft.directory/users/sponsors/read Sponsors van gebruikers lezen
microsoft.directory/users/standard/read Basiseigenschappen voor gebruikers lezen

Helpdeskbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services, en de servicestatus bewaken. Als een vernieuwingstoken ongeldig wordt gemaakt, wordt de gebruiker gedwongen zich opnieuw aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een helpdeskbeheerder wachtwoorden opnieuw kan instellen en vernieuwingstokens ongeldig kan maken.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk uitgebreide machtigingen in Microsoft Entra ID en elders niet verleend aan helpdeskbeheerders. Via dit pad kan een helpdeskbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
  • Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.

Het delegeren van beheerdersmachtigingen aan subsets van gebruikers en het toepassen van beleidsregels op een subset van gebruikers is mogelijk met beheereenheden.

Deze rol heette eerder Wachtwoordbeheerder in Azure Portal. De naam is gewijzigd in helpdeskbeheerder, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Microsoft Graph PowerShell.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/deviceLocalCredentials/standard/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Hybrid Identity-beheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen configuratie-instellingen voor inrichting van Active Directory maken, beheren en implementeren in Microsoft Entra-id met behulp van Cloud Provisioning, evenals Microsoft Entra Connect, passthrough-verificatie (PTA), wachtwoordhashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. Heeft geen toegang om Microsoft Entra Connect Health te beheren. Gebruikers kunnen ook problemen oplossen en logboeken bewaken met behulp van deze rol.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/create Alle typen toepassingen maken
microsoft.directory/applications/delete Alle typen toepassingen verwijderen
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/synchronization/standard/read De inrichtingsinstellingen lezen die aan het toepassingsobject zijn gekoppeld
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/applicationTemplates/instantiate Galerietoepassingen instantiëren vanuit toepassingssjablonen
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/cloudProvisioning/allProperties/allTasks Alle eigenschappen van de Microsoft Entra-cloudinrichtingsservice lezen en configureren.
microsoft.directory/deletedItems.applications/delete Toepassingen die niet meer kunnen worden hersteld, definitief verwijderen
microsoft.directory/deletedItems.applications/restore Voorlopig verwijderde toepassingen terugzetten naar de oorspronkelijke status
microsoft.directory/domains/allProperties/read Alle eigenschappen van domeinen lezen
microsoft.directory/domains/federationConfiguration/basic/update Basisfederatieconfiguratie voor domeinen bijwerken
microsoft.directory/domains/federationConfiguration/create Federatieconfiguratie voor domeinen maken
microsoft.directory/domains/federationConfiguration/delete Federatieconfiguratie voor domeinen verwijderen
microsoft.directory/domains/federationConfiguration/standard/read Standaardeigenschappen van federatieconfiguratie voor domeinen lezen
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
Pictogram voor bevoegd label.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hybride verificatiebeleid beheren in Microsoft Entra-id
Pictogram voor bevoegd label.
microsoft.directory/onPremisesSynchronization/basic/update Basisinformatie over on-premises adreslijstsynchronisatie bijwerken
microsoft.directory/onPremisesSynchronization/standard/read Informatie over standaardsynchronisatie van on-premises adreslijstsynchronisatie lezen
microsoft.directory/organization/dirSync/update De synchronisatie-eigenschap van de organisatiedirectory bijwerken
microsoft.directory/passwordHashSync/allProperties/allTasks Alle aspecten van Wachtwoord-hashsynchronisatie (PHS) beheren in Microsoft Entra-id
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/audience/update Doelgroepeigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/authentication/update Verificatie-eigenschappen van service-principals bijwerken
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken
microsoft.directory/servicePrincipals/create Service-principals maken
microsoft.directory/servicePrincipals/delete Service-principals verwijderen
microsoft.directory/servicePrincipals/disable Service-principals uitschakelen
microsoft.directory/servicePrincipals/enable Service-principals inschakelen
microsoft.directory/servicePrincipals/notes/update Notities van service-principals bijwerken
microsoft.directory/servicePrincipals/owners/update Eigenaren van service-principals bijwerken
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Cloudtenant beheren voor het inrichten van geheimen en referenties voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Start, start de cloudtenant opnieuw op en onderbreek de synchronisatietaken voor cloudtenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Cloudtenant maken en beheren voor het inrichten van synchronisatietaken en schema's voor cloudtenant-tenanttoepassingen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld
microsoft.directory/servicePrincipals/tag/update De tageigenschap voor service-principals bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.directory/users/authorizationInfo/update De eigenschap id's van gebruikers met meerdere waarden voor certificaatgebruikers bijwerken
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Identity Governance-beheerder

Gebruikers met deze rol kunnen Microsoft Entra ID-governance configuratie beheren, waaronder toegangspakketten, toegangsbeoordelingen, catalogi en beleid, zodat de toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.

Acties Beschrijving
microsoft.directory/accessReviews/allProperties/allTasks (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Microsoft Entra-id
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/create Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken.
microsoft.directory/accessReviews/definitions.groups/delete Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen.
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken

Insights-beheerder

Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft Viva Insights-app. Deze rol heeft de mogelijkheid om directorygegevens te lezen, de servicestatus te bewaken, ondersteuningstickets in te dienen en toegang tot de aspecten van Insights-beheerdersinstellingen te krijgen.

Meer informatie

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.insights/allEntities/allProperties/allTasks Alle aspecten van de Insights-app beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Insights-analist

Wijs de rol Insights-analist toe aan gebruikers die het volgende moeten doen:

  • Gegevens analyseren in de Microsoft Viva Insights-app, maar niet configuratie-instellingen beheren
  • Query's maken, beheren en uitvoeren
  • Basisinstellingen en -rapporten bekijken in het Microsoft 365-beheercentrum
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum

Meer informatie

Acties Beschrijving
microsoft.insights/queries/allProperties/allTasks Query's uitvoeren en beheren in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Insights-bedrijfsleider

Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft Viva Insights-app. Dit omvat volledige toegang tot alle dashboards en de functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot configuratie-instellingen van het product, wat de verantwoordelijkheid is van de Insights-beheerder.

Meer informatie

Acties Beschrijving
microsoft.insights/programs/allProperties/update Programma's in de Insights-app implementeren en beheren
microsoft.insights/reports/allProperties/read Rapporten en het dashboard in de Insights-app bekijken

Intune-beheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben algemene machtigingen in Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren. Zie Op rollen gebaseerd beheerbeheer (RBAC) met Microsoft Intune voor meer informatie.

Met deze rol kunnen alle beveiligingsgroepen worden gemaakt en beheerd. Intune-beheerder heeft echter geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat de beheerder geen eigenaars of lidmaatschappen van alle Microsoft 365-groepen in de organisatie kan bijwerken. Hij/zij kan echter de Microsoft 365-groep beheren die hij maakt als onderdeel van zijn/haar bevoegdheden voor eindgebruikers. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die hij/zij maakt, moet worden meegeteld tegen zijn quotum van 250.

Notitie

In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Intune-servicebeheerder. In De Azure-portal heeft deze de naam Intune-beheerder.

Acties Beschrijving
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/contacts/create Contacten maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/deletedItems.devices/delete Apparaten permanent verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/deviceLocalCredentials/password/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, inclusief het wachtwoord
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/devices/basic/update Basiseigenschappen voor apparaten bijwerken
microsoft.directory/devices/create Apparaten maken (inschrijven bij Microsoft Entra ID)
microsoft.directory/devices/delete Apparaten verwijderen uit Microsoft Entra-id
microsoft.directory/devices/disable Apparaten uitschakelen in Microsoft Entra-id
microsoft.directory/devices/enable Apparaten inschakelen in Microsoft Entra-id
microsoft.directory/devices/extensionAttributeSet1/update De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet2/update De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet3/update De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken
microsoft.directory/devices/registeredOwners/update Geregistreerde eigenaren van apparaten bijwerken
microsoft.directory/devices/registeredUsers/update Geregistreerde gebruikers van apparaten bijwerken
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/classification/update De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/visibility/update De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.intune/allEntities/allTasks Alle aspecten van Microsoft Intune beheren
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365-organisatieberichten lezen
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Kaizala-beheerder

Gebruikers met deze rol hebben algemene machtigingen om instellingen in Microsoft Kaizala te beheren, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten met betrekking tot acceptatie en gebruik van Kaizala door leden van de organisatie en bedrijfsrapporten die zijn gegenereerd met behulp van de Kaizala-acties.

Acties Beschrijving
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Kennisbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in het Microsoft 365-beheercentrum. Ze hebben een algemeen begrip van de suite met producten, licentiegegevens en hebben verantwoordelijkheid voor het beheren van de toegang. De kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentrums maken, de servicestatus bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken
microsoft.office365.knowledge/learningSources/allProperties/allTasks Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Alle eigenschappen van vertrouwelijkheidslabels in de beveiligings- en nalevingscentrums lezen
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Knowledge Base-beheer

Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Ze zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van kennis. Deze gebruiker heeft volledige rechten voor onderwerpbeheeracties om een onderwerp te bevestigen, wijzigingen goed te keuren of een onderwerp te verwijderen. Gebruikers met deze rol kunnen ook taxonomieën beheren als onderdeel van het beheerhulpprogramma voor het termenarchief en inhoudscentrums maken.

Acties Beschrijving
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/createAsOwner Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar.
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Licentiebeheerder

Gebruikers in deze rol kunnen licentietoewijzingen lezen, toevoegen, verwijderen en bijwerken voor gebruikers, groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of beheren, of gebruikers te maken of beheren buiten de gebruikslocatie. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/usageLocation/update Gebruikslocatie van gebruikers bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van levenscycluswerkstromen

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Wijs de rol 'Beheerder van levenscycluswerkstromen' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van werkstromen en taken maken en beheren die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra-id
  • De uitvoering van geplande werkstromen controleren
  • Werkstroomuitvoeringen op aanvraag starten
  • Logboeken van werkstroomuitvoeringen inspecteren
Acties Beschrijving
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Alle aspecten van levenscycluswerkstromen en taken beheren in Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Sterke verificatie-eigenschappen van een organisatie lezen
microsoft.directory/users/lifeCycleInfo/read Informatie over de levenscyclus van gebruikers lezen, zoals employeeLeaveDateTime
Pictogram voor bevoegd label.

Berichtencentrum-privacylezer

Gebruikers met deze rol kunnen alle meldingen in het Berichtencentrum bewaken, inclusief berichten over gegevensprivacy. Berichtencentrum-privacylezers ontvangen e-mailmeldingen, inclusief de berichten die betrekking hebben op gegevensprivacy, en kunnen zich afmelden via de voorkeuren van het Berichtencentrum. Alleen de globale beheerder en de Berichtencentrum-privacylezer kunnen berichten over gegevensprivacy lezen. Ook bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen te bekijken. Deze rol is niet gemachtigd om serviceaanvragen te bekijken, maken of beheren.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.messageCenter/securityMessages/read Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Berichtencentrum-lezer

Gebruikers met deze rol kunnen meldingen en adviesstatusupdates bewaken in het Berichtencentrum voor hun organisatie voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum-lezers ontvangen wekelijkse e-mailsamenvattingen van posts en updates en kunnen Berichtencentrum-posts delen in Microsoft 365. In Microsoft Entra-id hebben gebruikers die aan deze rol zijn toegewezen alleen-lezentoegang voor Microsoft Entra-services, zoals gebruikers en groepen. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Microsoft 365-migratiebeheerder

Wijs de rol Microsoft 365-migratiebeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Gebruik Migration Manager in de Microsoft 365-beheercentrum om de migratie van inhoud naar Microsoft 365 te beheren, waaronder Teams-, OneDrive voor Bedrijven- en SharePoint-sites, van Google Drive, Dropbox, Box en Egnyte
  • Migratiebronnen selecteren, migratie-inventarissen maken (zoals Google Drive-gebruikerslijsten), migraties plannen en uitvoeren en rapporten downloaden
  • Nieuwe SharePoint-sites maken als de doelsites nog niet bestaan, SharePoint-lijsten maken onder de SharePoint-beheersites en items maken en bijwerken in SharePoint-lijsten
  • Migratieprojectinstellingen en migratielevenscyclus voor taken beheren
  • Machtigingstoewijzingen van bron naar doel beheren

Notitie

Met deze rol kunt u niet migreren vanuit bestandssharebronnen via het SharePoint-beheercentrum. U kunt de sharePoint-beheerdersrol gebruiken om te migreren van bestandssharebronnen.

Meer informatie

Acties Beschrijving
microsoft.office365.migrations/allEntities/allProperties/allTasks Alle aspecten van Microsoft 365-migraties beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Lokale beheerder van Microsoft Entra-apparaat

Deze rol is alleen beschikbaar voor toewijzing als aanvullende lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale computerbeheerders op alle Windows 10-apparaten die lid zijn van Microsoft Entra ID. Ze hebben niet de mogelijkheid om apparaatobjecten in Microsoft Entra-id te beheren.

Acties Beschrijving
microsoft.directory/groupSettings/standard/read Basiseigenschappen voor groepsinstellingen lezen
microsoft.directory/groupSettingTemplates/standard/read Basiseigenschappen voor sjablonen voor groepsinstellingen lezen

Microsoft Hardware Warranty Administrator

Wijs de rol Microsoft Hardware Warranty Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
  • Geopende of gesloten garantieclaims zoeken en lezen
  • Garantieclaims zoeken en lezen op serienummer
  • Verzendadressen maken, lezen, bijwerken en verwijderen
  • Verzendstatus voor openstaande garantieclaims lezen
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
  • Berichtencentrumaankondigingen lezen in de Microsoft 365-beheercentrum

Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie selfservice voor uw Surface-garantie en serviceaanvragen voor meer informatie.

Acties Beschrijving
microsoft.hardware.support/shippingAddress/allProperties/allTasks Verzendadressen voor Microsoft-hardwaregarantieclaims maken, lezen, bijwerken en verwijderen, inclusief verzendadressen die door anderen zijn gemaakt
microsoft.hardware.support/shippingStatus/allProperties/read Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Alle aspecten van Microsoft-hardwaregarantieclaims maken en beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Microsoft Hardware Garantie Specialist

Wijs de rol Microsoft Hardware Warranty Specialist toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
  • Garantieclaims lezen die ze hebben gemaakt
  • Bestaande verzendadressen lezen en bijwerken
  • Verzendstatus lezen voor openstaande garantieclaims die ze hebben gemaakt
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum

Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie selfservice voor uw Surface-garantie en serviceaanvragen voor meer informatie.

Acties Beschrijving
microsoft.hardware.support/shippingAddress/allProperties/read Verzendadressen lezen voor Microsoft-hardwaregarantieclaims, inclusief bestaande verzendadressen die door anderen zijn gemaakt
microsoft.hardware.support/warrantyClaims/createAsOwner Microsoft-hardwaregarantieclaims maken waarbij de maker de eigenaar is
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.hardware.support/shippingStatus/allProperties/read Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen
microsoft.hardware.support/warrantyClaims/allProperties/read Microsoft-hardwaregarantieclaims lezen

Modern Commerce-beheerder

Niet gebruiken. Deze rol wordt automatisch vanuit Commerce toegewezen en is niet bedoeld of wordt niet ondersteund voor ander gebruik. Zie de onderstaande details.

De rol Modern Commerce-beheerder geeft bepaalde gebruikers toegang tot Microsoft 365-beheercentrum en bekijk de linkernavigatievermeldingen voor Thuisgebruik, Facturering en Ondersteuning. De beschikbare inhoud in deze omgevingen wordt beheerd door de commerce-specifieke rollen die aan gebruikers zijn toegewezen voor het beheren van producten die ze voor zichzelf of voor de organisatie hebben gekocht. Dit kunnen taken zijn zoals rekeningen betalen, of toegang tot factureringsaccounts en factureringsprofielen.

Gebruikers met de rol Modern Commerce-beheerder hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben geen rollen globale beheerder of factureringsbeheerder die worden gebruikt voor toegang tot het beheercentrum.

Wanneer is de rol Modern Commerce-beheerder toegewezen?

  • Selfservice-aankoop in het Microsoft 365-beheercentrum – Selfservice-aankoop biedt gebruikers de kans om nieuwe producten uit te proberen door deze zelf te kopen of zich er zelf voor te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfserviceaankoop doen, krijgen een rol toegewezen in het commercesysteem en de rol Modern Commerce-beheerder, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheerders kunnen selfserviceaankopen blokkeren (voor Fabric, Power BI, Power Apps, Power Automate) via PowerShell. Zie Veelgestelde vragen over selfservice-aankopen voor meer informatie.
  • Aankopen van de commerciële Microsoft-marketplace : net als bij selfservice-aankoop, wordt de rol Modern Commerce-beheerder toegewezen wanneer een gebruiker een product of service koopt bij Microsoft AppSource of Azure Marketplace, als deze niet de rol globale beheerder of factureringsbeheerder heeft. In sommige gevallen worden gebruikers geblokkeerd en kunnen ze deze aankopen niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
  • Voorstellen van Microsoft – Een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert, geen rol globale beheerder of factureringsbeheerder heeft in Microsoft Entra-id, krijgen ze zowel een handelsspecifieke rol toegewezen om het voorstel en de rol Modern Commerce-beheerder te voltooien voor toegang tot het beheercentrum. Wanneer ze toegang tot het beheercentrum krijgen, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
  • Commerce-specifieke rollen – Aan sommige gebruikers worden commerce-specifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol Modern Commerce-beheerder, zodat deze toegang heeft tot het beheercentrum.

Als de rol Modern Commerce-beheerder niet is toegewezen aan een gebruiker, hebben ze geen toegang meer tot Microsoft 365-beheercentrum. Als de gebruiker producten voor zichzelf of voor uw organisatie beheerde, kan hij/zij die niet meer beheren. Dit kan het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen omvatten.

Acties Beschrijving
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Alle aspecten van het Volume Licensing Service Center beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/basic/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Netwerkbeheerder

Gebruikers met deze rol kunnen aanbevelingen voor de netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerktelemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van zorgvuldige netwerkperimeterarchitectuur van zakelijke klanten, wat over het algemeen gebruikerslocatiespecifiek is. Met deze rol kunt u gedetecteerde gebruikerslocaties bewerken en netwerkparameters voor die locaties configureren om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken.

Acties Beschrijving
microsoft.office365.network/locations/allProperties/allTasks Alle aspecten van netwerklocaties beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van Office-apps

Gebruikers met deze rol kunnen cloudinstellingen van Microsoft 365-apps beheren. Dit omvat het beheer van cloudbeleidsregels, selfservice-downloadbeheer en de mogelijkheid om aan Office-apps gerelateerde rapporten te bekijken. Deze rol biedt ook de mogelijkheid om ondersteuningstickets te beheren en de servicestatus in het hoofdbeheercentrum te bewaken. Gebruikers die zijn toegewezen aan deze rol, kunnen ook de communicatie beheren van nieuwe functies in Office-apps.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.userCommunication/allEntities/allTasks Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Huisstijlbeheerder van organisatie

Wijs de rol Huisstijlbeheerder van de organisatie toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van de huisstijl van de organisatie in een tenant beheren
  • Huisstijlthema's lezen, maken, bijwerken en verwijderen
  • Het standaardthema voor huisstijl en alle thema's voor huisstijllokalisatie beheren
Acties Beschrijving
microsoft.directory/loginOrganizationBranding/allProperties/allTasks loginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken

Fiatteur voor organisatieberichten

Wijs de rol Fiatteur voor organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Nieuwe organisatieberichten controleren, goedkeuren of afwijzen voor bezorging in de Microsoft 365-beheercentrum voordat ze worden verzonden naar gebruikers met behulp van het Microsoft 365-organisatieberichtenplatform
  • Alle aspecten van organisatieberichten lezen
  • Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
Acties Beschrijving
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365-organisatieberichten lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/update Nieuwe organisatieberichten goedkeuren of afwijzen voor bezorging in de Microsoft 365-beheercentrum
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Schrijver van organisatieberichten

Wijs de rol Schrijver van organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Organisatieberichten schrijven, publiceren en verwijderen met Microsoft 365-beheercentrum of Microsoft Intune
  • Opties voor bezorging van organisatieberichten beheren met Microsoft 365-beheercentrum of Microsoft Intune
  • Resultaten van de bezorging van organisatieberichten lezen met Microsoft 365-beheercentrum of Microsoft Intune
  • Gebruiksrapporten en de meeste instellingen in de Microsoft 365-beheercentrum weergeven, maar kunnen geen wijzigingen aanbrengen
Acties Beschrijving
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Laag1-ondersteuning voor partner

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen alleen voor niet-beheerders wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
Pictogram voor bevoegd label.
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/contacts/create Contacten maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/create Gebruikers toevoegen
Pictogram voor bevoegd label.
microsoft.directory/users/delete Gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Laag2-ondersteuning voor partner

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.

Belangrijk

Met deze rol kunnen voor alle niet-beheerders en beheerders (inclusief globale beheerders) wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/applications/appRoles/update De eigenschap appRoles bijwerken voor alle typen toepassingen
microsoft.directory/applications/audience/update De doelgroepeigenschap voor toepassingen bijwerken
microsoft.directory/applications/authentication/update De verificatie voor alle typen toepassingen bijwerken
microsoft.directory/applications/basic/update Basiseigenschappen voor toepassingen bijwerken
microsoft.directory/applications/credentials/update Toepassingsreferenties bijwerken
Pictogram voor bevoegd label.
microsoft.directory/applications/notes/update Notities van toepassingen bijwerken
microsoft.directory/applications/owners/update De eigenaren van toepassingen bijwerken
microsoft.directory/applications/permissions/update De weergegeven machtigingen en vereiste machtigingen bijwerken van alle typen toepassingen
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/applications/tag/update Tags van toepassingen bijwerken
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/contacts/create Contacten maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/domains/allProperties/allTasks Domeinen maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/organization/basic/update Basiseigenschappen voor organisatie bijwerken
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/subscribedSkus/standard/read Basiseigenschappen voor abonnementen lezen
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/create Gebruikers toevoegen
Pictogram voor bevoegd label.
microsoft.directory/users/delete Gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Wachtwoordbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de servicestatus te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
Acties Beschrijving
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder van machtigingenbeheer

Wijs de beheerdersrol Machtigingenbeheer toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van Microsoft Entra-machtigingsbeheer beheren wanneer de service aanwezig is

Meer informatie over rollen en beleidsregels voor machtigingenbeheer vindt u in Informatie over rollen/beleid weergeven.

Acties Beschrijving
microsoft.permissionsManagement/allEntities/allProperties/allTasks Alle aspecten van Microsoft Entra-machtigingsbeheer beheren

Power Platform-beheerder

Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid voor preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.dynamics365/allEntities/allTasks Alle aspecten van Dynamics 365 beheren
microsoft.flow/allEntities/allTasks Alle aspecten van Microsoft Power Automate beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.powerApps/allEntities/allTasks Alle aspecten van Power Apps beheren

Printerbeheerder

Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing, zoals de Universal Print Connector-instellingen, beheren. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten.

Acties Beschrijving
microsoft.azure.print/allEntities/allProperties/allTasks Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken

Printertechnicus

Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universal Print-oplossing. Ze kunnen ook alle connectorgegevens lezen. Belangrijke taken die een printertechnicus niet kan uitvoeren, zijn het instellen van gebruikersmachtigingen voor printers en het delen van printers.

Acties Beschrijving
microsoft.azure.print/connectors/allProperties/read Alle eigenschappen van connectors in Microsoft Print lezen
microsoft.azure.print/printers/allProperties/read Alle eigenschappen van printers in Microsoft Print lezen
microsoft.azure.print/printers/basic/update Basiseigenschappen van printers in Microsoft Print bijwerken
microsoft.azure.print/printers/register Printers in Microsoft Print registreren
microsoft.azure.print/printers/unregister De registratie van printers in Microsoft Print ongedaan maken

Bevoorrechte verificatiebeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Wijs de rol Privileged Authentication Administrator toe aan gebruikers die het volgende moeten doen:

  • Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor elke gebruiker, inclusief globale beheerders.
  • Verwijder of herstel alle gebruikers, met inbegrip van globale beheerders. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
  • Dwing gebruikers af om zich opnieuw te registreren op basis van bestaande niet-wachtwoordreferenties (zoals MFA of FIDO2) en MFA in te trekken op het apparaat, waarbij wordt gevraagd om MFA bij de volgende aanmelding van alle gebruikers.
  • Gevoelige eigenschappen voor alle gebruikers bijwerken. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.
  • Certificeringsinstanties configureren met een op PKI gebaseerd vertrouwensarchief (preview)

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan MFA per gebruiker niet beheren in de verouderde MFA-beheerportal.

In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.

Rol Verificatiemethoden van de gebruiker beheren MFA per gebruiker beheren MFA-instellingen beheren Verificatiemethodebeleid beheren Wachtwoordbeveiligingsbeleid beheren Gevoelige eigenschappen bijwerken Gebruikers verwijderen en herstellen
Verificatiebeheerder Ja voor sommige gebruikers Ja voor sommige gebruikers Ja No Nee Ja voor sommige gebruikers Ja voor sommige gebruikers
Beheerder van bevoegde verificatie Ja voor alle gebruikers Ja voor alle gebruikers Nee Nee Nee Ja voor alle gebruikers Ja voor alle gebruikers
Beheerder van verificatiebeleid Nr. Ja Ja Ja Ja No Nee
Gebruikersbeheerder Nee Nee Nee Nee Nee Ja voor sommige gebruikers Ja voor sommige gebruikers

Belangrijk

Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra-id en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
  • Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal en Microsoft Purview-nalevingsportal- en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/users/authenticationMethods/basic/update Basiseigenschappen van verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/create Verificatiemethoden voor gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/delete Verificatiemethoden voor gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/authenticationMethods/standard/read Standaardeigenschappen van verificatiemethoden voor gebruikers lezen
Pictogram voor bevoegd label.
microsoft.directory/users/authorizationInfo/update De eigenschap id's van gebruikers met meerdere waarden voor certificaatgebruikers bijwerken
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/delete Gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor bevoorrechte rollen

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Microsoft Entra ID en binnen Microsoft Entra Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Microsoft Entra-rollen. Daarnaast kunnen met deze rol alle aspecten van Privileged Identity Management en beheereenheden worden beheerd.

Belangrijk

Deze rol verleent de mogelijkheid om toewijzingen te beheren voor alle Microsoft Entra-rollen, inclusief de rol Globale beheerder. Deze rol bevat geen andere bevoegde mogelijkheden in Microsoft Entra-id, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen echter aanvullende bevoegdheden aan zichzelf of anderen verlenen door aanvullende rollen toe te wijzen.

Acties Beschrijving
microsoft.directory/accessReviews/definitions.applications/allProperties/read Lees alle eigenschappen van toegangsbeoordelingen van toepassingsroltoewijzingen in Microsoft Entra-id
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Toegangsbeoordelingen voor Microsoft Entra-roltoewijzingen beheren
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Toegangsbeoordelingen maken voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Toegangsbeoordelingen verwijderen voor lidmaatschap in groepen die kunnen worden toegewezen aan Microsoft Entra-rollen
microsoft.directory/administrativeUnits/allProperties/allTasks Beheereenheden (inclusief leden) maken en beheren
microsoft.directory/authorizationPolicy/allProperties/allTasks Alle aspecten van autorisatiebeleid beheren
Pictogram voor bevoegd label.
microsoft.directory/directoryRoles/allProperties/allTasks Directoryrollen maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/groupsAssignableToRoles/allProperties/update Groepen bijwerken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/assignLicense Een licentie toewijzen aan groepen die aan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/create Groepen maken waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/delete Groepen verwijderen waaraan rollen kunnen worden toegewezen
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Licentietoewijzingen opnieuw verwerken voor roltoewijsbare groepen
microsoft.directory/groupsAssignableToRoles/restore Groepen herstellen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/permissionGrantPolicies/allProperties/read Alle eigenschappen van machtigingsbeleid lezen
microsoft.directory/permissionGrantPolicies/allProperties/update Alle eigenschappen van machtigingsbeleid bijwerken
microsoft.directory/permissionGrantPolicies/create Beleid voor het verlenen van machtigingen maken
microsoft.directory/permissionGrantPolicies/delete Beleid voor het verlenen van machtigingen verwijderen
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Privileged Identity Management lezen en bijwerken
microsoft.directory/roleAssignments/allProperties/allTasks Roltoewijzingen maken en verwijderen en alle eigenschappen van roltoewijzingen lezen en bijwerken
microsoft.directory/roleDefinitions/allProperties/allTasks Roldefinities maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships maken en verwijderen en alle eigenschappen lezen en bijwerken
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Toestemming verlenen voor elke machtiging voor elke toepassing
microsoft.directory/servicePrincipals/permissions/update Machtigingen van service-principals bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Rapportenlezer

Gebruikers met deze rol kunnen gebruiksgegevens en het rapportendashboard bekijken in Microsoft 365-beheercentrum en het contextpakket voor acceptatie in Fabric en Power BI. Daarnaast biedt de rol toegang tot alle aanmeldingslogboeken, auditlogboeken en activiteitenrapporten in Microsoft Entra-id en gegevens die worden geretourneerd door de Microsoft Graph-rapportage-API. Een gebruiker aan wie de rol Rapportenlezer is toegewezen, heeft alleen toegang tot relevante metrische gebruiks- en ingebruiknamegegevens. Ze hebben geen beheerdersmachtigingen voor het configureren van instellingen of toegang tot productspecifieke beheercentrums zoals Exchange. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Zoekbeheerder

Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search-beheerfuncties in het Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de servicestatus bewaken en serviceaanvragen maken.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Zoekredacteur

Gebruikers in deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in de Microsoft 365-beheercentrum, waaronder bladwijzers, Q&As en locaties.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.search/content/manage Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beveiligingsbeheer

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsfuncties in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.

In Wel
Microsoft 365 Defender-portal Beveiligingsgerelateerde beleidsregels bewaken in Microsoft 365-services
Beveiligingsbedreigingen en -waarschuwingen beheren
Rapporten weergeven
Microsoft Entra ID Protection Alle machtigingen van de rol Beveiligingslezer
Alle id-beveiligingsbewerkingen uitvoeren, met uitzondering van het opnieuw instellen van wachtwoorden
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Kan microsoft Entra-roltoewijzingen of -instellingen niet beheren
Microsoft Purview-nalevingsportal Beveiligingsbeleid beheren
Beveiligingsbedreigingen bekijken, onderzoeken en erop reageren
Rapporten weergeven
Azure Advanced Threat Protection Verdachte beveiligingsactiviteiten bewaken en erop reageren
Microsoft Defender voor Eindpunt Rollen toewijzen
Machinegroepen beheren
Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren
Waarschuwingen bekijken, onderzoeken en erop reageren
Machines/apparaatinventaris bekijken
Intune Wordt toegewezen aan de rol Intune Endpoint Security Manager
Microsoft Defender voor Cloud-apps Beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Slimme vergrendeling Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden.
Wachtwoordbeveiliging Configureer een aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging.
Synchronisatie tussen tenants Configureer toegangsinstellingen voor meerdere tenants voor gebruikers in een andere tenant. Beveiligingsbeheerders kunnen geen gebruikers rechtstreeks maken en verwijderen, maar kunnen indirect gesynchroniseerde gebruikers maken en verwijderen uit een andere tenant wanneer beide tenants zijn geconfigureerd voor synchronisatie tussen tenants, een bevoegde machtiging.
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/applications/policies/update Beleid van toepassingen bijwerken
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/owners/update Eigenaren bijwerken voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/conditionalAccessPolicies/tenantDefault/update De standaardtenant voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/basic/update Basisinstellingen van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Instellingen voor directe verbinding met Microsoft Entra B2B bijwerken van het standaardtoegangsbeleid voor meerdere tenants
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Tenantbeperkingen van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Samenwerkingsinstellingen voor Microsoft Entra B2B bijwerken van toegangsbeleid voor meerdere tenants voor partners
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Microsoft Entra B2B-instellingen voor directe verbinding bijwerken van toegangsbeleid voor meerdere tenants voor partners
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/delete Toegangsbeleid voor meerdere tenants voor partners verwijderen
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Basisinstellingen van synchronisatiebeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Synchronisatiebeleid voor meerdere tenants maken voor partners
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Basiseigenschappen van synchronisatiebeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Synchronisatiebeleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Sjabloon voor synchronisatiebeleid voor meerdere tenants opnieuw instellen op standaardinstellingen voor meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Beleidssjablonen voor meerdere tenants bijwerken voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Sjabloon voor beleid voor meerdere tenants voor meerdere tenants opnieuw instellen op standaardinstellingen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Tenantbeperkingen van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/deviceLocalCredentials/standard/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord
microsoft.directory/domains/federationConfiguration/basic/update Basisfederatieconfiguratie voor domeinen bijwerken
microsoft.directory/domains/federationConfiguration/create Federatieconfiguratie voor domeinen maken
microsoft.directory/domains/federationConfiguration/delete Federatieconfiguratie voor domeinen verwijderen
microsoft.directory/domains/federationConfiguration/standard/read Standaardeigenschappen van federatieconfiguratie voor domeinen lezen
microsoft.directory/domains/federation/update Federatie-eigenschap van domeinen bijwerken
Pictogram voor bevoegd label.
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen
microsoft.directory/identityProtection/allProperties/read Alle resources lezen in Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Alle resources bijwerken in Microsoft Entra ID Protection
Pictogram voor bevoegd label.
microsoft.directory/multiTenantOrganization/basic/update Basiseigenschappen van een organisatie met meerdere tenants bijwerken
microsoft.directory/multiTenantOrganization/create Een organisatie met meerdere tenants maken
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Deelnemen aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/standard/read Basiseigenschappen van een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/tenants/create Een tenant maken in een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/delete Een tenant verwijderen die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Basiseigenschappen bijwerken van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/standard/read Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/namedLocations/basic/update Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/policies/basic/update Basiseigenschappen voor beleidsregels bijwerken
Pictogram voor bevoegd label.
microsoft.directory/policies/create Beleid maken in Microsoft Entra-id
microsoft.directory/policies/delete Beleid verwijderen in Microsoft Entra-id
microsoft.directory/policies/owners/update Eigenaren van beleidsregels bijwerken
microsoft.directory/policies/tenantDefault/update Standaardorganisatiebeleid bijwerken
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365
Pictogram voor bevoegd label.
microsoft.directory/servicePrincipals/policies/update Beleid van service-principals bijwerken
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.networkAccess/allEntities/allProperties/allTasks Alle aspecten van Microsoft Entra-netwerktoegang beheren
microsoft.office365.protectionCenter/allEntities/basic/update Basiseigenschappen van alle resources in de beveiligings- en nalevingscentrums bijwerken
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Aanvalspayloads maken en beheren in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beveiligingsoperator

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen waarschuwingen beheren en globale alleen-lezentoegang hebben voor beveiligingsfuncties, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.

In Wel
Microsoft 365 Defender-portal Alle machtigingen van de rol Beveiligingslezer
Waarschuwingen over beveiligingsbedreigingen bekijken, onderzoeken en erop reageren
Beveiligingsinstellingen beheren in de Microsoft 365 Defender-portal
Microsoft Entra ID Protection Alle machtigingen van de rol Beveiligingslezer
Voer alle id-beveiligingsbewerkingen uit, met uitzondering van het configureren of wijzigen van beleid op basis van risico's, het opnieuw instellen van wachtwoorden en het configureren van waarschuwingsmails.
Privileged Identity Management Alle machtigingen van de rol Beveiligingslezer
Microsoft Purview-nalevingsportal Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Microsoft Defender voor Eindpunt Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen.
Intune Alle machtigingen van de rol Beveiligingslezer
Microsoft Defender voor Cloud-apps Alle machtigingen van de rol Beveiligingslezer
Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Acties Beschrijving
microsoft.azure.advancedThreatProtection/allEntities/allTasks Alle aspecten van Azure Advanced Threat Protection beheren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/cloudAppSecurity/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken
microsoft.directory/identityProtection/allProperties/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in Microsoft Entra ID Protection
Pictogram voor bevoegd label.
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.intune/allEntities/read Alle resources in Microsoft Intune lezen
microsoft.office365.securityComplianceCenter/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen lezen en bijwerken in het Office 365-beveiligings- en compliancecentrum
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Alle aspecten van Microsoft Defender voor Eindpunt beheren

Beveiligingslezer

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Gebruikers met deze rol hebben globale alleen-lezentoegang voor beveiligingsgerelateerde functies, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management, evenals de mogelijkheid om aanmeldingsrapporten en auditlogboeken van Microsoft Entra te lezen, en in Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.

In Wel
Microsoft 365 Defender-portal Beveiligingsgerelateerde beleidsregels bekijken in Microsoft 365-services
Beveiligingsbedreigingen en -waarschuwingen bekijken
Rapporten weergeven
Microsoft Entra ID Protection Alle id-beveiligingsrapporten en overzicht weergeven
Privileged Identity Management Heeft alleen-lezentoegang tot alle informatie die wordt weergegeven in Microsoft Entra Privileged Identity Management: beleid en rapporten voor Roltoewijzingen en beveiligingsbeoordelingen van Microsoft Entra.
Kan zich niet registreren voor Microsoft Entra Privileged Identity Management of wijzigingen aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand in deze rol extra rollen activeren (bijvoorbeeld Beheerder van bevoorrechte rol), als de gebruiker hiervoor in aanmerking komt.
Microsoft Purview-nalevingsportal Beveiligingsbeleid bekijken
Beveiligingsbedreigingen bekijken en onderzoeken
Rapporten weergeven
Microsoft Defender voor Eindpunt Waarschuwingen weergeven en onderzoeken
Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen.
Intune Bekijkt gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens. Kan geen wijzigingen aanbrengen in Intune.
Microsoft Defender voor Cloud-apps Heeft leesmachtigingen.
Microsoft 365-servicestatus De status van Microsoft 365-services bekijken
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/accessReviews/definitions/allProperties/read Lees alle eigenschappen van toegangsbeoordelingen van alle controleerbare resources in Microsoft Entra-id
microsoft.directory/auditLogs/allProperties/read Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/bitlockerKeys/key/read BitLocker-metagegevens en -sleutel op apparaten lezen
Pictogram voor bevoegd label.
microsoft.directory/conditionalAccessPolicies/owners/read De eigenaren van beleid voor voorwaardelijke toegang lezen
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lees de eigenschap 'toegepast op' voor beleid voor voorwaardelijke toegang
microsoft.directory/conditionalAccessPolicies/standard/read Voorwaardelijke toegang voor beleid lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Basiseigenschappen van sjablonen voor synchronisatiebeleid voor meerdere tenants voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Basiseigenschappen van beleidssjablonen voor meerdere tenants voor meerdere tenants lezen voor een organisatie met meerdere tenants
microsoft.directory/deviceLocalCredentials/standard/read Lees alle eigenschappen van de referenties van het lokale beheerdersaccount voor aan Microsoft Entra gekoppelde apparaten, met uitzondering van het wachtwoord
microsoft.directory/domains/federationConfiguration/standard/read Standaardeigenschappen van federatieconfiguratie voor domeinen lezen
microsoft.directory/entitlementManagement/allProperties/read Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen
microsoft.directory/identityProtection/allProperties/read Alle resources lezen in Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eigenschappen van een aanvraag voor deelname aan een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/standard/read Basiseigenschappen van een organisatie met meerdere tenants lezen
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Organisatiegegevens lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/multiTenantOrganization/tenants/standard/read Basiseigenschappen lezen van een tenant die deelneemt aan een organisatie met meerdere tenants
microsoft.directory/namedLocations/standard/read Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd
microsoft.directory/policies/owners/read Eigenaren van beleidsregels lezen
microsoft.directory/policies/policyAppliedTo/read De eigenschap policies.policyAppliedTo lezen
microsoft.directory/policies/standard/read Basiseigenschappen voor beleidsregels lezen
microsoft.directory/privilegedIdentityManagement/allProperties/read Alle resources in Privileged Identity Management lezen
microsoft.directory/provisioningLogs/allProperties/read Geef alle eigenschappen van inrichtingslogboeken weer
microsoft.directory/signInReports/allProperties/read Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen
microsoft.networkAccess/allEntities/allProperties/read Alle aspecten van Microsoft Entra-netwerktoegang lezen
microsoft.office365.protectionCenter/allEntities/standard/read Standaardeigenschappen van alle resources in de beveiligings- en nalevingscentrums lezen
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Alle eigenschappen van aanvalspayloads lezen in Aanvalssimulatie
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Alle eigenschappen van sjablonen voor aanvalssimulatie lezen in Aanvalssimulatie
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Serviceondersteuningsbeheerder

Gebruikers met deze rol kunnen ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure-portal en het Microsoft 365-beheercentrum. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.

Notitie

Deze rol werd eerder servicebeheerder genoemd in Azure Portal en Microsoft 365-beheercentrum. De naam is gewijzigd in serviceondersteuningsbeheerder, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Microsoft Graph PowerShell.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

SharePoint-beheerder

Gebruikers met deze rol hebben algemene machtigingen in Microsoft SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.

Notitie

In de Microsoft Graph API en Microsoft Graph PowerShell heeft deze rol de naam SharePoint-servicebeheerder. In Azure Portal heeft deze de naam SharePoint-beheerder.

Notitie

Deze rol verleent ook machtigingen met een bepaald bereik aan de Microsoft Graph-API voor Microsoft Intune, waardoor beleidsregels met betrekking tot SharePoint- en OneDrive-resources kunnen worden beheerd en geconfigureerd.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks OneDrive-beveiligingsbeleid maken en beheren in Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Herstelsessie voor OneDrive lezen en configureren in Microsoft 365 Backup
microsoft.backup/restorePoints/sites/allProperties/allTasks Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde SharePoint-sites in M365 Backup
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde OneDrive-accounts in M365 Backup
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks SharePoint-beveiligingsbeleid maken en beheren in Microsoft 365 Backup
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Herstelsessie voor SharePoint lezen en configureren in Microsoft 365 Backup
microsoft.backup/siteProtectionUnits/allProperties/allTasks Sites beheren die zijn toegevoegd aan SharePoint-beveiligingsbeleid in Microsoft 365 Backup
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Sites beheren die zijn toegevoegd aan herstelsessie voor SharePoint in Microsoft 365 Backup
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Accounts beheren die zijn toegevoegd aan OneDrive-beveiligingsbeleid in Microsoft 365 Backup
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Accounts beheren die zijn toegevoegd om de sessie te herstellen voor OneDrive in Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.migrations/allEntities/allProperties/allTasks Alle aspecten van Microsoft 365-migraties beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.sharePoint/allEntities/allTasks Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

SharePoint Embedded-beheerder

Wijs de rol SharePoint Embedded Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle taken uitvoeren met Behulp van PowerShell, Microsoft Graph API of SharePoint-beheercentrum
  • SharePoint Embedded-containers beheren, configureren en onderhouden
  • SharePoint Embedded-containers inventariseren en beheren
  • Machtigingen voor SharePoint Embedded-containers opsommen en beheren
  • Opslag van SharePoint Embedded-containers in een tenant beheren
  • Beveiligings- en nalevingsbeleid toewijzen aan SharePoint Embedded-containers
  • Beveiligings- en nalevingsbeleid toepassen op SharePoint Embedded-containers in een tenant

Meer informatie

Acties Beschrijving
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Alle aspecten van SharePoint Embedded-containers beheren
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Skype voor Bedrijven-beheerder

Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, en beheren Skype-specifieke gebruikerskenmerken in Microsoft Entra ID. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren, de servicestatus te bewaken en toegang tot het Teams- en Skype voor Bedrijven-beheercentrum te krijgen. Het account moet ook een licentie voor Teams hebben om Teams PowerShell-cmdlets te kunnen uitvoeren. Zie Skype voor Bedrijven Licentiegegevens voor onlinebeheerders en Teams op Skype voor Bedrijven uitbreidingslicenties voor meer informatie.

Notitie

In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Lync-servicebeheerder. In Azure Portal heeft deze de naam Skype voor Bedrijven Administrator.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Teams-beheerder

Gebruikers in deze rol kunnen alle aspecten van de Microsoft Teams-workload beheren via het Microsoft Teams - en Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerhulpprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Deze rol biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken
microsoft.directory/crossTenantAccessPolicy/default/standard/read Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen
microsoft.directory/crossTenantAccessPolicy/partners/create Toegangsbeleid voor meerdere tenants voor partners maken
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen
microsoft.directory/crossTenantAccessPolicy/standard/read Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen
microsoft.directory/externalUserProfiles/basic/update Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams
microsoft.directory/externalUserProfiles/delete Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams
microsoft.directory/externalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/pendingExternalUserProfiles/basic/update Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/create Externe gebruikersprofielen maken in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/delete Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams
microsoft.directory/permissionGrantPolicies/standard/read Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/allEntities/allProperties/allTasks Alle resources in Teams beheren

Teams-communicatiebeheerder

Gebruikers in deze rol kunnen aspecten van de Microsoft Teams-workload met betrekking tot spraak en telefonie beheren. Dit omvat de beheerhulpprogramma's voor het toewijzen van telefoonnummers, spraak- en vergaderingsbeleidsregels en volledige toegang tot de hulpmiddelenset voor gespreksanalyse.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/allProperties/read Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen
microsoft.teams/meetings/allProperties/allTasks Vergaderingen beheren, inclusief vergaderingsbeleidsregels, configuraties en vergaderingsbruggen
microsoft.teams/voice/allProperties/allTasks Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers

Ondersteuningstechnicus voor Teams-communicatie

Gebruikers in deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in het Beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen de volledige gespreksrecordgegevens bekijken van alle betreffende deelnemers. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/allProperties/read Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen

Ondersteuningsspecialist voor Teams-communicatie

Gebruikers in deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in het Beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen alleen de gebruikersgegevens in het gesprek bekijken voor een specifieke, opgezochte gebruiker. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/standard/read Basisgegevens in het Dashboard Oproepkwaliteit (DOK) lezen

Teams-apparaatbeheerder

Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan gegevens over elk apparaat controleren, waaronder het aangemelde account en het merk en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen om de Teams-activiteit en gesprekskwaliteit van het apparaat te controleren.

Acties Beschrijving
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/devices/standard/read Alle aspecten van Teams-gecertificeerde apparaten beheren, inclusief configuratiebeleidsregels

Teams Telefoniebeheerder

Wijs de rol Teams Telefoniebeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Spraak- en telefonie beheren, waaronder belbeleid, beheer en toewijzing van telefoonnummers en spraaktoepassingen
  • Toegang tot alleen pstN-gebruiksrapporten (Public Switched Telephone Network) vanuit het Teams-beheercentrum
  • Gebruikersprofielpagina weergeven
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum

Meer informatie

Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/authorizationPolicy/standard/read Standaardeigenschappen van autorisatiebeleid lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.skypeForBusiness/allEntities/allTasks Alle aspecten van Skype voor Bedrijven Online beheren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.teams/callQuality/allProperties/read Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen
microsoft.teams/voice/allProperties/allTasks Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers

Maker van tenant

Wijs de rol TenantMaker toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Maak zowel Microsoft Entra- als Azure Active Directory B2C-tenants, zelfs als de wisselknop voor het maken van de tenant is uitgeschakeld in de gebruikersinstellingen

Notitie

De makers van de tenant krijgen de rol Globale beheerder toegewezen voor de nieuwe tenants die ze maken.

Acties Beschrijving
microsoft.directory/tenantManagement/tenants/create Nieuwe tenants maken in Microsoft Entra-id

Lezer van gebruiksoverzichtsrapporten

Wijs de rol Lezer voor gebruiksoverzichtsrapporten toe aan gebruikers die de volgende taken moeten uitvoeren in de Microsoft 365-beheercentrum:

  • De gebruiksrapporten en acceptatiescore weergeven
  • Organisatie-inzichten lezen, maar geen persoonlijke informatie (PII) van gebruikers

Met deze rol kunnen gebruikers alleen gegevens op organisatieniveau weergeven met de volgende uitzonderingen:

  • Gebruikers van leden kunnen gebruikersbeheergegevens en -instellingen bekijken.
  • Gastgebruikers aan wie deze rol is toegewezen, kunnen geen gebruikersbeheergegevens en -instellingen weergeven.
Acties Beschrijving
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Gebruikersbeheerder

Pictogram voor bevoegd label.

Dit is een bevoorrechte rol. Wijs de rol Gebruikersbeheerder toe aan gebruikers die het volgende moeten doen:

Machtiging Meer informatie
Gebruikers maken
De meeste gebruikerseigenschappen voor alle gebruikers bijwerken, inclusief alle beheerders Wie kan gevoelige acties uitvoeren
Gevoelige eigenschappen (inclusief user principal name) voor sommige gebruikers bijwerken Wie kan gevoelige acties uitvoeren
Sommige gebruikers uitschakelen of inschakelen Wie kan gevoelige acties uitvoeren
Sommige gebruikers verwijderen of herstellen Wie kan gevoelige acties uitvoeren
Gebruikersweergaven maken en beheren
Alle groepen maken en beheren
Licenties toewijzen en lezen voor alle gebruikers, inclusief alle beheerders
Wachtwoorden opnieuw instellen Wie kan wachtwoorden opnieuw instellen
Vernieuwingstokens ongeldig maken Wie kan wachtwoorden opnieuw instellen
(FIDO-)apparaatsleutels bijwerken
Beleid voor wachtwoordverloop bijwerken
Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Servicestatus bewaken

Gebruikers met deze rol kunnen het volgende niet doen:

  • Kan MFA niet beheren.
  • Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
  • Kan gedeelde postvakken niet beheren.
  • Kan geen beveiligingsvragen wijzigen voor het opnieuw instellen van wachtwoorden.

Belangrijk

Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:

  • Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk uitgebreide machtigingen in Microsoft Entra-id en elders niet verleend aan gebruikersbeheerders. Via dit pad kan een gebruikersbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
  • Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
  • Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
  • Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
  • Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Acties Beschrijving
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health lezen en configureren
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Microsoft Entra-id
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Alle eigenschappen van toegangsbeoordelingen voor Microsoft Entra-roltoewijzingen lezen
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer
microsoft.directory/accessReviews/definitions.groups/allProperties/read Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen.
microsoft.directory/accessReviews/definitions.groups/create Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken.
microsoft.directory/accessReviews/definitions.groups/delete Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen.
microsoft.directory/contacts/basic/update Basiseigenschappen voor contactpersonen bijwerken
microsoft.directory/contacts/create Contacten maken
microsoft.directory/contacts/delete Contactpersonen verwijderen
microsoft.directory/deletedItems.groups/restore Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status
microsoft.directory/deletedItems.users/restore Voorlopig verwijderde gebruikers terugzetten naar de oorspronkelijke status
microsoft.directory/entitlementManagement/allProperties/allTasks Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer
microsoft.directory/groups/assignLicense Productlicenties toewijzen aan groepen voor groepslicenties
microsoft.directory/groups/basic/update Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/classification/update De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/create Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/delete Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/groupType/update Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/members/update Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/onPremWriteBack/update Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Connect
microsoft.directory/groups/owners/update Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups/reprocessLicenseAssignment Licentietoewijzingen voor groepslicenties opnieuw verwerken
microsoft.directory/groups/restore Groepen terugzetten vanuit een voorlopig verwijderde container
microsoft.directory/groups/settings/update Instellingen van groepen bijwerken
microsoft.directory/groups/visibility/update De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0-machtigingsverlening maken en verwijderen en alle eigenschappen lezen en bijwerken
Pictogram voor bevoegd label.
microsoft.directory/policies/standard/read Basiseigenschappen voor beleidsregels lezen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Roltoewijzingen van service-principals bijwerken
microsoft.directory/users/assignLicense Gebruikerslicenties beheren
microsoft.directory/users/basic/update Basiseigenschappen voor gebruikers bijwerken
microsoft.directory/users/convertExternalToInternalMemberUser Externe gebruiker converteren naar interne gebruiker
microsoft.directory/users/create Gebruikers toevoegen
Pictogram voor bevoegd label.
microsoft.directory/users/delete Gebruikers verwijderen
Pictogram voor bevoegd label.
microsoft.directory/users/disable Gebruikers uitschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/enable Gebruikers inschakelen
Pictogram voor bevoegd label.
microsoft.directory/users/invalidateAllRefreshTokens Afmelden forceren door vernieuwingstokens van gebruikers ongeldig te maken
Pictogram voor bevoegd label.
microsoft.directory/users/inviteGuest Gastgebruikers uitnodigen
microsoft.directory/users/manager/update Beheerder van gebruikers bijwerken
microsoft.directory/users/password/update Wachtwoorden voor alle gebruikers opnieuw instellen
Pictogram voor bevoegd label.
microsoft.directory/users/photo/update Foto van gebruikers bijwerken
microsoft.directory/users/reprocessLicenseAssignment Licentietoewijzingen voor gebruikers opnieuw verwerken
microsoft.directory/users/restore Verwijderde gebruikers herstellen
microsoft.directory/users/sponsors/update Sponsors van gebruikers bijwerken
microsoft.directory/users/usageLocation/update Gebruikslocatie van gebruikers bijwerken
microsoft.directory/users/userPrincipalName/update User Principal Name van gebruikers bijwerken
Pictogram voor bevoegd label.
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Success Manager van gebruikerservaring

Wijs de rol User Experience Success Manager toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Gebruiksrapporten op organisatieniveau lezen voor Microsoft 365-apps en services, maar niet voor gebruikersgegevens
  • Bekijk de productfeedback van uw organisatie, NPS-enquêteresultaten (Net Promoter Score) en help artikelweergaven om communicatie- en trainingsmogelijkheden te identificeren
  • Berichten en servicestatusgegevens van berichten in het berichtencentrum lezen

Meer informatie

Acties Beschrijving
microsoft.commerce.billing/purchases/standard/read Lees aankoopservices in het M365-beheercentrum.
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.organizationalMessages/allEntities/allProperties/read Alle aspecten van Microsoft 365-organisatieberichten lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.usageReports/allEntities/standard/read Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Beheerder voor virtuele bezoeken

Gebruikers met deze rol kunnen de volgende taken uitvoeren:

  • Alle aspecten van virtuele bezoeken in Bookings beheren en configureren in het Microsoft 365-beheercentrum en in de Teams EHR-connector
  • Gebruiksrapporten weergeven voor virtuele bezoeken in het Teams-beheercentrum, Microsoft 365-beheercentrum, Infrastructuur en Power BI
  • Functies en instellingen bekijken in het Microsoft 365-beheercentrum, maar geen instellingen bewerken

Virtuele bezoeken zijn een eenvoudige manier om online- en videoafspraken voor medewerkers en deelnemers te plannen en beheren. Gebruiksrapportage kan bijvoorbeeld laten zien hoe het verzenden van sms-berichten vóór afspraken ervoor kan zorgen dat minder personen niet komen opdagen voor hun afspraak.

Acties Beschrijving
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.virtualVisits/allEntities/allProperties/allTasks Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken

Viva Goals Administrator

Wijs de rol Viva Goals Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van de Microsoft Viva Goals-toepassing beheren en configureren
  • Microsoft Viva Goals-beheerdersinstellingen configureren
  • Microsoft Entra-tenantgegevens lezen
  • Microsoft 365-servicestatus bewaken
  • Serviceaanvragen voor Microsoft 365 maken en beheren

Zie Rollen en machtigingen in Viva Goals en Inleiding tot Microsoft Viva Goals voor meer informatie.

Acties Beschrijving
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.viva.goals/allEntities/allProperties/allTasks Alle aspecten van Microsoft Viva Goals beheren

Viva Pulse-beheerder

Wijs de rol Viva Pulse Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle instellingen van Viva Pulse lezen en configureren
  • Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
  • Azure Service Health lezen en configureren
  • Azure-ondersteuningstickets maken en beheren
  • Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
  • Gebruiksrapporten lezen in het Microsoft 365-beheercentrum

Zie Een Viva Pulse-beheerder toewijzen in de Microsoft 365-beheercentrum voor meer informatie.

Acties Beschrijving
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.viva.pulse/allEntities/allProperties/allTasks Alle aspecten van Microsoft Viva Pulse beheren

Windows 365-beheerder

Gebruikers met deze rol hebben algemene machtigingen voor Windows 365-resources, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren.

Gebruikers met deze rol kunnen beveiligingsgroepen maken en beheren, maar hebben geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat beheerders eigenaren of lidmaatschappen van Microsoft 365-groepen in de organisatie niet kunnen bijwerken. Ze kunnen echter wel de Microsoft 365-groep beheren die ze maken als onderdeel van hun eindgebruikersbevoegdheden. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die ze maken, wordt meegeteld voor hun quotum van 250.

Wijs de rol 'Windows 365-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Windows 365 Cloud-pc s beheren in Microsoft Intune
  • Apparaten inschrijven en beheren in Microsoft Entra-id, inclusief het toewijzen van gebruikers en beleid
  • Beveiligingsgroepen maken en beheren, maar geen groepen waaraan rollen kunnen worden toegewezen
  • Basiseigenschappen bekijken in het Microsoft 365-beheercentrum
  • Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
  • Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties Beschrijving
microsoft.azure.supportTickets/allEntities/allTasks Azure-ondersteuningstickets maken en beheren
microsoft.cloudPC/allEntities/allProperties/allTasks Alle aspecten van Windows 365 beheren
microsoft.directory/deletedItems.devices/delete Apparaten permanent verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/deletedItems.devices/restore Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat
microsoft.directory/deviceManagementPolicies/standard/read Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid
microsoft.directory/deviceRegistrationPolicy/standard/read Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen
microsoft.directory/devices/basic/update Basiseigenschappen voor apparaten bijwerken
microsoft.directory/devices/create Apparaten maken (inschrijven bij Microsoft Entra ID)
microsoft.directory/devices/delete Apparaten verwijderen uit Microsoft Entra-id
microsoft.directory/devices/disable Apparaten uitschakelen in Microsoft Entra-id
microsoft.directory/devices/enable Apparaten inschakelen in Microsoft Entra-id
microsoft.directory/devices/extensionAttributeSet1/update De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet2/update De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken
microsoft.directory/devices/extensionAttributeSet3/update De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken
microsoft.directory/devices/registeredOwners/update Geregistreerde eigenaren van apparaten bijwerken
microsoft.directory/devices/registeredUsers/update Geregistreerde gebruikers van apparaten bijwerken
microsoft.directory/groups.security/basic/update Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/classification/update De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/create Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/delete Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/dynamicMembershipRule/update De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/members/update Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/owners/update Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.security/visibility/update De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen

Windows Update-implementatiebeheerder

Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd, en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van updates bewaken.

Acties Beschrijving
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Alle aspecten van Windows Update Service lezen en configureren

Yammer-beheerder

Wijs de rol 'Yammer-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:

  • Alle aspecten van Yammer beheren
  • Microsoft 365-groepen maken, beheren en herstellen, maar geen groepen waaraan rollen kunnen worden toegewezen
  • De verborgen leden van beveiligingsgroepen en Microsoft 365-groepen bekijken, inclusief groepen waaraan rollen kunnen worden toegewezen
  • Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
  • Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
  • Aankondigingen bekijken in het Berichtencentrum, maar geen beveiligingsaankondigingen
  • Servicestatus weergeven

Meer informatie

Acties Beschrijving
microsoft.directory/groups/hiddenMembers/read Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/basic/update Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/create Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/delete Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/members/update Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/owners/update Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.directory/groups.unified/restore Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen
microsoft.office365.messageCenter/messages/read Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
microsoft.office365.network/performance/allProperties/read Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen
microsoft.office365.serviceHealth/allEntities/allTasks Service Health in het Microsoft 365-beheercentrum lezen en configureren
microsoft.office365.supportTickets/allEntities/allTasks Serviceaanvragen voor Microsoft 365 maken en beheren
microsoft.office365.usageReports/allEntities/allProperties/read Office 365-gebruiksrapporten lezen
microsoft.office365.webPortal/allEntities/standard/read Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
microsoft.office365.yammer/allEntities/allProperties/allTasks Alle aspecten van Yammer beheren

Afgeschafte rollen

De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst verwijderd uit de Microsoft Entra-id.

  • Ad-hoclicentiebeheerder
  • Apparaatkoppeling
  • Apparaatbeheerders
  • Apparaatgebruikers
  • Maker van via e-mail geverifieerde gebruikers
  • Postvakbeheerder
  • Werkplekapparaatkoppeling

Rollen die niet worden weergegeven in de portal

Niet elke rol die wordt geretourneerd door PowerShell of de Microsoft Graph-API is zichtbaar in de Azure-portal. In de volgende tabel worden deze verschillen weergegeven.

API-naam Azure-portaalnaam Opmerkingen
Apparaatkoppeling Afgeschaft Documentatie over afgeschafte rollen
Apparaatbeheerders Afgeschaft Documentatie over afgeschafte rollen
Apparaatgebruikers Afgeschaft Documentatie over afgeschafte rollen
Adreslijstsynchronisatieaccounts Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over adreslijstsynchronisatieaccounts
Gastgebruiker Niet weergegeven omdat deze niet mag worden gebruikt N.v.t.
Partnerondersteuning voor laag 1 Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over partnerondersteuning voor laag 1
Partnerondersteuning voor laag 2 Niet weergegeven omdat deze niet mag worden gebruikt Documentatie over partnerondersteuning voor laag 2
Beperkte gastgebruiker Niet weergegeven omdat deze niet mag worden gebruikt N.v.t.
User Niet weergegeven omdat deze niet mag worden gebruikt N.v.t.
Werkplekapparaatkoppeling Afgeschaft Documentatie over afgeschafte rollen

Volgende stappen