Ingebouwde Microsoft Entra-rollen
Als een andere beheerder of niet-beheerder microsoft Entra-resources moet beheren, wijst u in Microsoft Entra-id een Microsoft Entra-rol toe die de benodigde machtigingen biedt. U kunt bijvoorbeeld rollen toewijzen waarmee gebruikers toegevoegd of gewijzigd, gebruikerswachtwoorden opnieuw ingesteld, gebruikerslicenties beheerd of domeinnamen beheerd kunnen worden.
Dit artikel bevat de ingebouwde Microsoft Entra-rollen die u kunt toewijzen om het beheer van Microsoft Entra-resources toe te staan. Zie Microsoft Entra-rollen toewijzen aan gebruikers voor meer informatie over toewijzen van rollen. Zie Ingebouwde Azure-rollen als u op zoek bent naar rollen voor het beheren van Azure-resources.
Alle rollen
Rol | Beschrijving | Sjabloon-id |
---|---|---|
AI-beheerder | Beheer alle aspecten van Microsoft 365 Copilot en AI-gerelateerde bedrijfsservices in Microsoft 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Toepassingsbeheerder | Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Toepassingsontwikkelaar | Kan toepassingsregistraties maken, ongeacht de instelling voor 'Gebruikers kunnen toepassingen registreren'. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Auteur van aanvalspayload | Kan aanvalspayloads maken die een beheerder later kan starten. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Beheerder van aanvalssimulatie | Kan alle aspecten van simulatiecampagnes voor aanvallen maken en beheren. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Kenmerktoewijzingsbeheerder | Wijs aangepaste beveiligingskenmerksleutels en -waarden toe aan ondersteunde Microsoft Entra-objecten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Lezer van kenmerktoewijzing | Lees aangepaste beveiligingskenmerksleutels en -waarden voor ondersteunde Microsoft Entra-objecten. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Kenmerkdefinitiebeheerder | Kan de definitie van aangepaste beveiligingskenmerken definiëren en beheren. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Kenmerkdefinitielezer | Kan de definitie van aangepaste beveiligingskenmerken lezen. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Kenmerklogboekbeheerder | Lees auditlogboeken en configureer diagnostische instellingen voor gebeurtenissen met betrekking tot aangepaste beveiligingskenmerken. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Kenmerklogboeklezer | Lees auditlogboeken met betrekking tot aangepaste beveiligingskenmerken. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Verificatiebeheerder | Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker die geen beheerder is. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Verificatie-uitbreidbaarheidsbeheerder | Pas aanmeldings- en registratie-ervaringen voor gebruikers aan door aangepaste verificatie-extensies te maken en te beheren. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Beheerder van verificatiebeleid | Kan het beleid voor verificatiemethoden, tenantbrede MFA-instellingen, wachtwoordbeveiligingsbeleid en verifieerbare referenties maken en beheren. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Azure DevOps-beheerder | Kan Azure DevOps-beleid en -instellingen beheren. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Azure Information Protection-beheerder | Kan alle aspecten van het Azure Information Protection-product beheren. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
B2C IEF Keyset Administrator | Kan geheimen voor federatie en versleuteling in Identity Experience Framework (IEF) beheren. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
B2C IEF-beleidsbeheerder | Kan beleid voor het vertrouwensframework in Identity Experience Framework (IEF) maken en beheren. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Factureringsbeheerder | Kan algemene taken met betrekking tot facturering uitvoeren, zoals betalingsgegevens bijwerken. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Cloud App Security-beheerder | Kan alle aspecten van het Defender for Cloud Apps-product beheren. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Beheerder van de cloudtoepassing | Kan alle aspecten van app-registraties en bedrijfs-apps maken en beheren, behalve App Proxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Cloudapparaatbeheerder | Beperkte toegang voor het beheren van apparaten in Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Nalevingsbeheerder | Kan nalevingsconfiguratie en -rapporten lezen en beheren in Microsoft Entra-id en Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
Beheerder van nalevingsgegevens | Kan nalevingsinhoud maken en beheren. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Beheerder voor voorwaardelijke toegang | Kan de mogelijkheden van voorwaardelijke toegang beheren. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Fiatteur voor klanten-LockBox-toegang | Kan Microsoft-ondersteuningsaanvragen voor toegang tot bedrijfsgegevens van klanten goedkeuren. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Desktop Analytics-beheerder | Heeft toegang tot bureaubladbeheerhulpprogramma's en -services en kan deze beheren. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Adreslijstlezers | Kunnen basisdirectorygegevens lezen. Veel gebruikt voor het verlenen van leestoegang tot toepassingen en gasten in directory's. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
Adreslijstsynchronisatieaccounts | Alleen gebruikt door de Microsoft Entra Connect-service. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Adreslijstschrijvers | Kunnen basisdirectorygegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Beheerder van domeinnamen | Kan domeinnamen in de cloud en on-premises beheren. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365-beheerder | Kan alle aspecten van het Dynamics 365-product beheren. | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central-beheerder | Alle beheertaken openen en uitvoeren in Dynamics 365 Business Central-omgevingen. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Edge-beheerder | Kan alle aspecten van Microsoft Edge beheren. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Exchange-beheerder | Kan alle aspecten van het Exchange-product beheren. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Beheerder van Exchange-ontvangers | Kan Exchange Online-ontvangers maken of bijwerken binnen de Exchange Online-organisatie. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Beheerder van externe id-gebruikersstroom | Kan alle aspecten van gebruikersstromen maken en beheren. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Kenmerkbeheerder voor externe id-gebruikersstroom | Kan het kenmerkschema dat beschikbaar is voor alle gebruikersstromen, maken en beheren. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Beheerder van externe id-provider | Kan id-providers voor gebruik in directe federatie configureren. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Infrastructuurbeheerder | Kan alle aspecten van de Fabric- en Power BI-producten beheren. | a9ea8996-122f-4c74-9520-8edcd192826c |
Algemene beheerder | Kan alle aspecten van Microsoft Entra-id en Microsoft-services beheren die gebruikmaken van Microsoft Entra-identiteiten. |
62e90394-69f5-4237-9190-012177145e10 |
Globale lezer | Kan alles lezen wat een globale beheerder kan lezen, maar kan niets bijwerken. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Globale beheerder voor beveiligde toegang | Maak en beheer alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang, waaronder het beheren van toegang tot openbare en privé-eindpunten. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Groepsbeheerder | Leden van deze rol kunnen groepen maken/beheren, groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren en groepsactiviteiten en auditrapporten bekijken. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Gastnodiger | Kan onafhankelijk van de instelling 'Leden kunnen gasten uitnodigen' gastgebruikers uitnodigen. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Helpdeskbeheerder | Kan wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Hybride identiteitsbeheerder | Active Directory beheren voor Microsoft Entra-cloudinrichting, Microsoft Entra Connect, passthrough-verificatie (PTA), wachtwoord-hashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. Heeft geen toegang om Microsoft Entra Connect Health te beheren. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Identity Governance-beheerder | Toegang beheren met behulp van Microsoft Entra ID voor identiteitsbeheerscenario's. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Inzichtenbeheerder | Heeft beheerderstoegang in de Microsoft 365 Insights-app. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Insights-analist | Heeft toegang tot de analytische mogelijkheden in Microsoft Viva Insights en voert aangepaste query's uit. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Insights Business Leader | Kan dashboards en inzichten bekijken en delen via de Microsoft 365 Insights-app. | 31e939ad-9672-4796-9c2e-873181342d2d |
Intune-beheerder | Kan alle aspecten van het Intune-product beheren. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala-beheerder | Kan instellingen voor Microsoft Kaizala beheren. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Kennisbeheerder | Kan kennis, leren en andere intelligente functies configureren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Kennismanager | Kan onderwerpen en kennis organiseren, maken, beheren en promoten. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Licentiebeheerder | Kan productlicenties voor gebruikers en groepen beheren. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Beheerder van levenscycluswerkstromen | Maak en beheer alle aspecten van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Privacylezer van berichtencentrum | Kan alleen beveiligingsberichten en -updates lezen in het Office 365-berichtencentrum. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Berichtencentrumlezer | Kan alleen berichten en updates voor zijn/haar organisatie lezen in het Office 365-berichtencentrum. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Microsoft 365-migratiebeheerder | Voer alle migratiefunctionaliteit uit om inhoud naar Microsoft 365 te migreren met Behulp van Migration Manager. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Lokale beheerder van Microsoft Entra-apparaat | Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd aan de lokale beheerdersgroep op apparaten die zijn toegevoegd aan Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Microsoft Hardware Warranty Administrator | Maak en beheer alle aspecten garantieclaims en rechten voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Microsoft Hardware Garantie Specialist | Garantieclaims voor door Microsoft geproduceerde hardware maken en lezen, zoals Surface en HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Modern Commerce-beheerder | Kan commerciële aankopen voor een bedrijf, afdeling of team beheren. | d24aef57-1500-4070-84db-2666f29cf966 |
Netwerkbeheerder | Kan netwerklocaties beheren en inzichten in bedrijfsnetwerkontwerp bekijken voor Microsoft 365 Software as a Service-toepassingen. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Office-appsbeheerder | Kan cloudservices voor Office-apps beheren, waaronder beheer van beleid en instellingen. Kan tevens de mogelijkheid beheren om inhoud van de functie 'wat is er nieuw' te selecteren, de selectie van inhoud op te heffen en inhoud te publiceren naar apparaten van eindgebruikers. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Huisstijlbeheerder van organisatie | Beheer alle aspecten van de huisstijl van de organisatie in een tenant. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Fiatteur voor organisatieberichten | Controleer, keur nieuwe organisatieberichten goed of af voor bezorging in de Microsoft 365-beheercentrum voordat ze naar gebruikers worden verzonden. | e48398e2-f4bb-4074-8f31-4586725e205b |
Schrijver van organisatieberichten | Schrijf, publiceer, beheer en controleer de organisatieberichten voor eindgebruikers via Microsoft-productoppervlakken. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Ondersteuning voor partnerlaag1 | Niet gebruiken – niet bedoeld voor algemeen gebruik. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Ondersteuning voor Partner Tier2 | Niet gebruiken – niet bedoeld voor algemeen gebruik. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Wachtwoordbeheerder | Kan wachtwoorden voor niet-beheerders en wachtwoordbeheerders opnieuw instellen. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Beheerder van machtigingenbeheer | Beheer alle aspecten van Microsoft Entra-machtigingsbeheer. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Power Platform-beheerder | Kan alle aspecten van Microsoft Dynamics 365, Power Apps en Power Automate maken en beheren. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Printerbeheerder | Kan alle aspecten van printers en printerconnectors beheren. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Printertechnicus | Kan printers registreren, de registratie hiervan ongedaan maken en de printerstatus bijwerken. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Beheerder van bevoegde verificatie | Heeft toegang om verificatiemethodegegevens te bekijken, in te stellen en opnieuw in te stellen voor elke gebruiker (beheerder of niet-beheerder). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Beheerder voor bevoorrechte rollen | Kan roltoewijzingen beheren in Microsoft Entra ID en alle aspecten van Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Rapportlezer | Kan aanmeldings- en auditrapporten lezen. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Zoekbeheerder | Kan alle aspecten van Microsoft Search-instellingen maken en beheren. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Zoekeditor | Kan de redactionele inhoud maken en beheren, zoals bladwijzers, vragen en antwoorden, locaties en plattegronden. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Beveiligingsbeheerder | Kan beveiligingsgegevens en -rapporten lezen en de configuratie beheren in Microsoft Entra-id en Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Beveiligingsoperator | Kan beveiligingsgebeurtenissen maken en beheren. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Beveiligingslezer | Kan beveiligingsgegevens en -rapporten lezen in Microsoft Entra ID en Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Serviceondersteuningsbeheerder | Kan gegevens over de servicestatus lezen en ondersteuningstickets beheren. | f023fd81-a637-4b56-95fd-791ac0226033 |
SharePoint-beheerder | Kan alle aspecten van de SharePoint-service beheren. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
SharePoint Embedded-beheerder | Alle aspecten van SharePoint Embedded-containers beheren. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Skype voor Bedrijven-beheerder | Kan alle aspecten van het Skype voor Bedrijven-product beheren. | 75941009-915a-4869-abe7-691bff18279e |
Teams-beheerder | Kan de Microsoft Teams-service beheren. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Teams-communicatiebeheerder | Kan de aanroep- en vergaderfuncties van de Microsoft Teams-service beheren. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Teams Communications Support Engineer | Kan communicatieproblemen in Teams oplossen met geavanceerde hulpprogramma's. | f70938a0-fc10-4177-9e90-2178f8765737 |
Teams Communications Support Specialist | Kan communicatieproblemen in Teams oplossen met basishulpprogramma's. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Teams-apparaatbeheerder | Kan beheertaken uitvoeren op voor Teams gecertificeerde apparaten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Teams Telefoniebeheerder | Beheer spraak- en telefoniefuncties en los communicatieproblemen in de Microsoft Teams-service op. | aa38014f-0993-46e9-9b45-30501a20909d |
Maker van tenant | Maak nieuwe Microsoft Entra- of Azure AD B2C-tenants. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Lezer van gebruiksoverzichtsrapporten | Lees gebruiksrapporten en acceptatiescore, maar heeft geen toegang tot gebruikersgegevens. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Gebruikersbeheerder | Kan alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Success Manager van gebruikerservaring | Bekijk productfeedback, enquêteresultaten en rapporten om trainings- en communicatiemogelijkheden te vinden. | 27460883-1df1-4691-b032-3b79643e5e63 |
Beheerder voor virtuele bezoeken | Kan informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals Administrator | Beheer en configureer alle aspecten van Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse-beheerder | Kan alle instellingen voor de Microsoft Viva Pulse-app beheren. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365-beheerder | Kan alle aspecten van cloud-pc's inrichten en beheren. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Windows Update-implementatiebeheerder | Kan alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Yammer-beheerder | Kan alle aspecten van de Yammer-service beheren. | 810a2642-a034-447f-a5e8-41beaa378541 |
AI-beheerder
Wijs de rol AI-beheerder toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van Microsoft 365 Copilot beheren
- AI-gerelateerde bedrijfsservices, uitbreidbaarheid en copilot-agents beheren vanaf de pagina Geïntegreerde apps in de Microsoft 365-beheercentrum
- Line-Of-Business Copilot-agents goedkeuren en publiceren
- Gebruikers toestaan een app te installeren of een app te installeren voor gebruikers in de organisatie als de app geen machtiging nodig heeft
- Dashboards voor azure- en Microsoft 365-servicestatus lezen en configureren
- Gebruiksrapporten, acceptatie-inzichten en organisatie-inzicht weergeven
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Alle instellingen voor Microsoft 365 Copilot maken en beheren |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Toepassingsbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Azure AD Graph en Microsoft Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld andere Microsoft-apps, apps van derden of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen (dat wil gezegd, toestemming geven) voor deze machtigingen is een meer bevoegde beheerder vereist, zoals Beheerder van bevoorrechte rollen.
Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.
Toepassingsontwikkelaar
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen toepassingsregistraties maken wanneer de instelling 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee. Deze rol biedt ook de mogelijkheid om namens zichzelf toestemming te geven wanneer de instelling 'Gebruikers kunnen toestaan dat apps namens hen toegang hebben tot bedrijfsgegevens' is ingesteld op Nee. Gebruikers die aan deze rol zijn toegewezen, worden toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties.
Auteur van aanvalspayload
Gebruikers met deze rol kunnen aanvalspayloads maken, maar kunnen de payloads niet starten of plannen. De aanvalspayloads zijn vervolgens beschikbaar voor alle beheerders in de tenant, die de payloads kunnen gebruiken om een simulatie te maken.
Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Aanvalspayloads maken en beheren in Aanvalssimulatie |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
Beheerder van aanvalssimulatie
Gebruikers met deze rol kunnen alle aspecten van het maken van aanvalssimulaties, het starten/plannen van een simulatie en het beoordelen van de simulatieresultaten maken en beheren. Leden van deze rol hebben deze toegang voor alle simulaties in de tenant.
Zie Microsoft Defender voor Office 365 machtigingen in de Microsoft 365 Defender-portal en machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Aanvalspayloads maken en beheren in Aanvalssimulatie |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Rapporten lezen van aanvalssimulatie, antwoorden en bijbehorende training |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Sjablonen voor aanvalssimulatie maken en beheren in Aanvalssimulatie |
Kenmerktoewijzingsbeheerder
Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden toewijzen en verwijderen voor ondersteunde Microsoft Entra-objecten, zoals gebruikers, service-principals en apparaten.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken lezen voor door Microsoft Entra beheerde identiteiten |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aangepaste beveiligingskenmerkwaarden bijwerken voor door Microsoft Entra beheerde identiteiten |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
microsoft.directory/devices/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen |
microsoft.directory/devices/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor apparaten bijwerken |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor service-principals bijwerken |
microsoft.directory/users/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen |
microsoft.directory/users/customSecurityAttributes/update | Waarden voor aangepaste beveiligingskenmerken voor gebruikers bijwerken |
Lezer van kenmerktoewijzing
Gebruikers met deze rol kunnen aangepaste beveiligingskenmerksleutels en -waarden lezen voor ondersteunde Microsoft Entra-objecten.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Aangepaste waarden voor beveiligingskenmerken lezen voor door Microsoft Entra beheerde identiteiten |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
microsoft.directory/devices/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor apparaten lezen |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor service-principals lezen |
microsoft.directory/users/customSecurityAttributes/read | Waarden voor aangepaste beveiligingskenmerken voor gebruikers lezen |
Kenmerkdefinitiebeheerder
Gebruikers met deze rol kunnen een geldige set aangepaste beveiligingskenmerken definiëren die kunnen worden toegewezen aan ondersteunde Microsoft Entra-objecten. Met deze rol kunnen ook aangepaste beveiligingskenmerken worden geactiveerd en gedeactiveerd.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Alle aspecten van kenmerkensets beheren |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren |
Lezer van kenmerkdefinitie
Gebruikers met deze rol kunnen de definitie van aangepaste beveiligingskenmerken lezen.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.directory/attributeSets/allProperties/read | Alle eigenschappen van kenmerksets lezen |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Alle eigenschappen van aangepaste beveiligingskenmerkdefinities lezen |
Kenmerklogboekbeheerder
Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:
- Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities
- Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken
Gebruikers met deze rol kunnen geen auditlogboeken lezen voor andere gebeurtenissen.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Alle aspecten van diagnostische instellingen voor aangepaste beveiligingskenmerken configureren |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken |
Kenmerklogboeklezer
Wijs de rol Kenmerklogboeklezer toe aan gebruikers die de volgende taken moeten uitvoeren:
- Auditlogboeken lezen voor wijzigingen in aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor wijzigingen en toewijzingen van aangepaste beveiligingskenmerkendefinities
Gebruikers met deze rol kunnen de volgende taken niet uitvoeren:
- Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken
- Auditlogboeken lezen voor andere gebeurtenissen
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Auditlogboeken lezen met betrekking tot aangepaste beveiligingskenmerken |
Verificatiebeheerder
Dit is een bevoorrechte rol. Wijs de rol Verificatiebeheerder toe aan gebruikers die het volgende moeten doen:
- Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor niet-beheerders en sommige rollen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een verificatiebeheerder verificatiemethoden kan lezen of bijwerken.
- Vereisen dat gebruikers die niet-beheerders zijn of aan bepaalde rollen zijn toegewezen om zich opnieuw te registreren tegen bestaande referenties voor niet-wachtwoord (bijvoorbeeld MFA of FIDO), en die ook MFA kunnen intrekken op het apparaat, waarmee MFA wordt gevraagd bij de volgende aanmelding.
- MFA-instellingen beheren in de verouderde MFA-beheerportal.
- Voer gevoelige acties uit voor sommige gebruikers. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
- Kan hardware-OATH-tokens niet beheren.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
---|---|---|---|---|---|---|---|
Verificatiebeheerder | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Ja | No | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Beheerder van bevoegde verificatie | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
Beheerder van verificatiebeleid | Nr. | Ja | Ja | Ja | Ja | No | Nee |
Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra-id en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Verificatie-uitbreidbaarheidsbeheerder
Dit is een bevoorrechte rol. Wijs de rol Authentication Extensibility Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van aangepaste verificatie-extensies maken en beheren.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan geen aangepaste verificatie-extensies toewijzen aan toepassingen om de verificatieervaringen te wijzigen en kan geen toestemming geven voor toepassingsmachtigingen of app-registraties maken die zijn gekoppeld aan de aangepaste verificatie-extensie. In plaats daarvan moet u de rollen Toepassingsbeheerder, Toepassingsontwikkelaar of Cloudtoepassingsbeheerder gebruiken.
Een aangepaste verificatie-extensie is een API-eindpunt dat is gemaakt door een ontwikkelaar voor verificatie-gebeurtenissen en is geregistreerd in Microsoft Entra-id. Toepassingsbeheerders en toepassingseigenaren kunnen aangepaste verificatie-extensies gebruiken om de verificatie-ervaringen van hun toepassing aan te passen, zoals aanmelden en registreren of wachtwoordherstel.
Acties | Beschrijving |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Aangepaste verificatie-extensies maken en beheren |
Beheerder van verificatiebeleid
Wijs de rol Verificatiebeleidbeheerder toe aan gebruikers die het volgende moeten doen:
- Configureer het beleid voor verificatiemethoden, tenantbrede MFA-instellingen en wachtwoordbeveiligingsbeleid waarmee wordt bepaald welke methoden elke gebruiker kan registreren en gebruiken.
- Instellingen voor wachtwoordbeveiliging beheren: configuraties voor slimme vergrendeling en het bijwerken van de aangepaste lijst met verboden wachtwoorden.
- MFA-instellingen beheren in de verouderde MFA-beheerportal.
- Verifieerbare referenties maken en beheren.
- Maak en beheer ondersteuning voor Azure tickets.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan gevoelige eigenschappen niet bijwerken. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
- Kan gebruikers niet verwijderen of herstellen. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
- Kan hardware-OATH-tokens niet beheren.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
---|---|---|---|---|---|---|---|
Verificatiebeheerder | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Ja | No | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Beheerder van bevoegde verificatie | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
Beheerder van verificatiebeleid | Nr. | Ja | Ja | Ja | Ja | No | Nee |
Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Acties | Beschrijving |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/organization/strongAuthentication/allTasks | Alle aspecten van sterke verificatie-eigenschappen van een organisatie beheren |
microsoft.directory/userCredentialPolicies/basic/update | Basisbeleid voor gebruikers bijwerken |
microsoft.directory/userCredentialPolicies/create | Referentiebeleid voor gebruikers maken |
microsoft.directory/userCredentialPolicies/delete | Referentiebeleid voor gebruikers verwijderen |
microsoft.directory/userCredentialPolicies/owners/read | Eigenaren van referentiebeleid voor gebruikers lezen |
microsoft.directory/userCredentialPolicies/owners/update | Eigenaren van referentiebeleid voor gebruikers bijwerken |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Navigatiekoppeling policy.appliesTo lezen |
microsoft.directory/userCredentialPolicies/standard/read | Standaardeigenschappen van referentiebeleid voor gebruikers lezen |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Eigenschap policy.isOrganizationDefault bijwerken |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Configuratie lezen die vereist is voor het maken en beheren van verifieerbare referenties |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Configuratie bijwerken die vereist is voor het maken en beheren van verifieerbare referenties |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Een contract met verifieerbare referenties lezen |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Een contract met verifieerbare referenties bijwerken |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Een kaart met verifieerbare referenties lezen |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Een kaart met verifieerbare referenties intrekken |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Een contract met verifieerbare referenties maken |
microsoft.directory/verifiableCredentials/configuration/create | Configuratie maken die vereist is voor het maken en beheren van verifieerbare referenties |
microsoft.directory/verifiableCredentials/configuration/delete | Configuratie verwijderen die vereist is voor het maken en beheren van verifieerbare referenties, en alle bijbehorende verifieerbare referenties verwijderen |
Azure DevOps-beheerder
Gebruikers met deze rol kunnen alle Azure DevOps-beleidsregels voor ondernemingen beheren, die van toepassing zijn op alle Azure DevOps-organisaties die worden ondersteund door Microsoft Entra-id. Gebruikers in deze rol kunnen dit beleid beheren door te navigeren naar elke Azure DevOps-organisatie die wordt ondersteund door de Microsoft Entra-id van het bedrijf. Daarnaast kunnen gebruikers met deze rol eigendom van zwevende Azure DevOps-organisaties claimen. Deze rol verleent geen andere Azure DevOps-specifieke machtigingen (bijvoorbeeld beheerders van projectverzamelingen) binnen een van de Azure DevOps-organisaties die worden ondersteund door de Microsoft Entra-organisatie van het bedrijf.
Acties | Beschrijving |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Azure DevOps lezen en configureren |
Azure Information Protection-beheerder
Gebruikers met deze rol hebben alle machtigingen in de Azure Information Protection-service. Met deze rol kunt u labels configureren voor het Azure Information Protection-beleid, beveiligingssjablonen beheren en beveiliging activeren. Deze rol verleent geen machtigingen in microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-portal of Microsoft Purview-nalevingsportal.
Acties | Beschrijving |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van Azure Information Protection beheren |
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van B2C IEF-sleutelset
Dit is een bevoorrechte rol. Gebruiker kan beleidssleutels en -geheimen maken en beheren voor tokenversleuteling, tokenhandtekeningen en claimversleuteling/-ontsleuteling. Door nieuwe sleutels toe te voegen aan bestaande sleutelcontainers, kan deze beperkte beheerder geheimen indien nodig verlengen zonder dat dit van invloed is op bestaande toepassingen. Deze gebruiker kan de volledige inhoud van deze geheimen en hun vervaldatums zien, zelfs nadat ze zijn gemaakt.
Belangrijk
Dit is een gevoelige rol. De rol Sleutelsetbeheerder moet zorgvuldig worden gecontroleerd en met zorg worden toegewezen tijdens preproductie en productie.
Acties | Beschrijving |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Sleutelsets in Azure Active Directory B2C lezen en configureren |
Beheerder van B2C IEF-beleid
Gebruikers met deze rol hebben de mogelijkheid om alle aangepaste beleidsregels in Azure AD B2C te maken, te lezen, bij te werken en te verwijderen en hebben daarom volledige controle over het Identity Experience Framework in de relevante Azure AD B2C-organisatie. Door beleidsregels te bewerken, kan deze gebruiker directe federatie met externe id-providers tot stand brengen, het directoryschema wijzigen, alle gebruikersgerichte inhoud (HTML, CSS, JavaScript) wijzigen, de vereisten wijzigen om een verificatie te voltooien, nieuwe gebruikers maken, gebruikersgegevens (inclusief volledige migraties) verzenden naar externe systemen en alle gebruikersgegevens bewerken, inclusief gevoelige velden zoals wachtwoorden en telefoonnummers. Omgekeerd kan deze rol niet de versleutelingssleutels wijzigen of de geheimen bewerken die worden gebruikt voor federatie in de organisatie.
Belangrijk
De B2 IEF-beleidsbeheerder is een zeer gevoelige rol die op zeer beperkte basis moet worden toegewezen voor organisaties in productie. Activiteiten van deze gebruikers moeten nauw worden gecontroleerd, met name voor organisaties in productie.
Acties | Beschrijving |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Aangepaste beleidsregels in Azure Active Directory B2C lezen en configureren |
Factureringsbeheerder
Doet aankopen, beheert abonnementen, beheert ondersteuningstickets en bewaakt de servicestatus.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Alle aspecten van Office 365-facturering beheren |
microsoft.directory/organization/basic/update | Basiseigenschappen voor organisatie bijwerken |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Cloud App Security-beheerder
Gebruikers met deze rol hebben volledige machtigingen in Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen voor Microsoft Defender for Cloud Apps toevoegen, logboeken uploaden en beheeracties uitvoeren.
Acties | Beschrijving |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van de cloudtoepassing
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben dezelfde machtigingen als de rol Toepassingsbeheerder, met uitzondering van de mogelijkheid om de toepassingsproxy te beheren. Deze rol biedt de mogelijkheid om alle aspecten van bedrijfstoepassingen en toepassingsregistraties te maken en beheren. Gebruikers die aan deze rol zijn toegewezen, worden niet toegevoegd als eigenaren bij het maken van nieuwe toepassingsregistraties of bedrijfstoepassingen.
Deze rol verleent ook de mogelijkheid om toestemming te geven voor gedelegeerde machtigingen en toepassingsmachtigingen, met uitzondering van toepassingsmachtigingen voor Azure AD Graph en Microsoft Graph.
Belangrijk
Deze uitzondering betekent dat u nog steeds toestemming kunt geven voor toepassingsmachtigingen voor andere apps (bijvoorbeeld andere Microsoft-apps, apps van derden of apps die u hebt geregistreerd). U kunt deze machtigingen nog steeds aanvragen als onderdeel van de app-registratie, maar het verlenen (dat wil gezegd, toestemming geven) voor deze machtigingen is een meer bevoegde beheerder vereist, zoals Beheerder van bevoorrechte rollen.
Deze rol biedt de mogelijkheid om toepassingsreferenties te beheren. Gebruikers die aan deze rol zijn toegewezen, kunnen referenties toevoegen aan een toepassing en deze referenties gebruiken om de identiteit van de toepassing te imiteren. Als de identiteit van de toepassing toegang heeft gekregen tot een resource, zoals de mogelijkheid om een gebruiker of andere objecten te maken of bij te werken, kan een gebruiker die aan deze rol is toegewezen, deze acties uitvoeren tijdens het imiteren van de toepassing. Deze mogelijkheid om de identiteit van de toepassing te imiteren, kan een verhoging van bevoegdheden zijn vergeleken met wat de gebruiker kan doen via zijn/haar roltoewijzingen. Het is belangrijk om te begrijpen dat het toewijzen van een gebruiker aan de rol Toepassingsbeheerder hem/haar de mogelijkheid geeft om de identiteit van een toepassing te imiteren.
Cloudapparaatbeheerder
Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen apparaten in Microsoft Entra-id inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels (indien aanwezig) lezen in Azure Portal. De rol verleent geen machtigingen voor het beheren van andere eigenschappen op het apparaat.
Nalevingsbeheerder
Gebruikers met deze rol hebben machtigingen voor het beheren van nalevingsgerelateerde functies in de portal van Microsoft Purview-nalevingsportal, Microsoft 365-beheercentrum, Azure en Microsoft 365 Defender. Toegewezen personen kunnen ook alle functies in het Exchange-beheercentrum beheren en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Naleving van Microsoft Purview voor meer informatie.
In | Wel |
---|---|
Microsoft Purview-nalevingsportal | De gegevens van uw organisatie beveiligen en beheren in Microsoft 365-services Nalevingswaarschuwingen beheren |
Microsoft Purview Compliancebeheer | De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren |
Microsoft 365 Defender-portal | Gegevensbeheer beheren Juridisch en gegevensonderzoek uitvoeren Aanvraag van betrokkene beheren Deze rol heeft dezelfde machtigingen als de rolgroep Compliancebeheerder in de Microsoft 365 Defender-portal op basis van toegangsbeheer op basis van rollen. |
Intune | Alle Intune-controlegegevens bekijken |
Microsoft Defender voor Cloud-apps | Heeft alleen-lezen machtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken |
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/entitlementManagement/allProperties/read | Alle eigenschappen in Microsoft Entra-rechtenbeheer lezen |
microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliancebeheer beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van nalevingsgegevens
Gebruikers met deze rol hebben machtigingen voor het bijhouden van gegevens in de Microsoft Purview-nalevingsportal, het Microsoft 365-beheercentrum en Azure. Gebruikers kunnen ook nalevingsgegevens bijhouden in het Exchange-beheercentrum, Compliancebeheer en Teams & Skype voor Bedrijven-beheercentrum en ondersteuningstickets maken voor Azure en Microsoft 365. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over de verschillen tussen Compliancebeheerder en Compliancegegevensbeheerder voor naleving van naleving van Compliance.
In | Wel |
---|---|
Microsoft Purview-nalevingsportal | Nalevingsgerelateerde beleidsregels bewaken in Microsoft 365-services Nalevingswaarschuwingen beheren |
Microsoft Purview Compliancebeheer | De nalevingsactiviteiten van uw organisatie bijhouden, toewijzen en verifiëren |
Microsoft 365 Defender-portal | Gegevensbeheer beheren Juridisch en gegevensonderzoek uitvoeren Aanvraag van betrokkene beheren Deze rol heeft dezelfde machtigingen als de rolgroep Compliancegegevensbeheerder in microsoft 365 Defender-portal op rollen gebaseerd toegangsbeheer. |
Intune | Alle Intune-controlegegevens bekijken |
Microsoft Defender voor Cloud-apps | Heeft alleen-lezen machtigingen en kan waarschuwingen beheren Kan bestandsbeleid maken en wijzigen en acties voor bestandsbeheer toestaan Kan alle ingebouwde rapporten onder Gegevensbeheer bekijken |
Acties | Beschrijving |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Alle aspecten van Azure Information Protection beheren |
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in Microsoft Defender for Cloud Apps lezen en bijwerken |
microsoft.office365.complianceManager/allEntities/allTasks | Alle aspecten van Office 365 Compliancebeheer beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder voor voorwaardelijke toegang
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen voor voorwaardelijke toegang van Microsoft Entra beheren.
Toegangsfiatteur voor Klanten-lockbox
Beheert Microsoft Purview Customer Lockbox-aanvragen in uw organisatie. Ze ontvangen e-mailmeldingen voor Klanten-lockbox-aanvragen en kunnen aanvragen van het Microsoft 365-beheercentrum goedkeuren en weigeren. Ze kunnen ook de functie Klanten-lockbox in- of uitschakelen. Alleen globale beheerders kunnen de wachtwoorden van personen die aan deze rol zijn toegewezen, opnieuw instellen.
Acties | Beschrijving |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Alle aspecten van Klanten-lockbox beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Desktop Analytics-beheerder
Gebruikers met deze rol kunnen de Desktop Analytics-service beheren. Dit omvat de mogelijkheid om de assetvoorraad te bekijken, implementatieplannen te maken en de implementatie- en gezondheidsstatus te bekijken.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Alle aspecten van Desktop Analytics beheren |
Lezers van mappen
Gebruikers met deze rol kunnen basisdirectorygegevens lezen Deze rol moet worden gebruikt voor:
- Het verlenen van leestoegang aan een specifieke set gastgebruikers in plaats van aan alle gastgebruikers.
- Het verlenen van een specifieke set niet-beheerderstoegang tot het Microsoft Entra-beheercentrum wanneer 'Toegang tot het Microsoft Entra-beheercentrum beperken' is ingesteld op Ja.
- Het verlenen van toegang tot directory aan service-principals waarbij Directory.Read.All geen optie is.
Acties | Beschrijving |
---|---|
microsoft.directory/administrativeUnits/members/read | Leden van beheereenheden lezen |
microsoft.directory/administrativeUnits/standard/read | Basiseigenschappen voor beheereenheden lezen |
microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
microsoft.directory/applications/owners/read | Eigenaren van toepassingen lezen |
microsoft.directory/applications/policies/read | Beleid van toepassingen lezen |
microsoft.directory/applications/standard/read | Standaardeigenschappen van toepassingen lezen |
microsoft.directory/contacts/memberOf/read | Lees het groepslidmaatschap voor alle contactpersonen in Microsoft Entra ID |
microsoft.directory/contacts/standard/read | Basiseigenschappen voor contactpersonen lezen in Microsoft Entra-id |
microsoft.directory/contracts/standard/read | Basiseigenschappen voor partnercontracten lezen |
microsoft.directory/devices/memberOf/read | Apparaatlidmaatschappen lezen |
microsoft.directory/devices/registeredOwners/read | Geregistreerde eigenaren van apparaten lezen |
microsoft.directory/devices/registeredUsers/read | Geregistreerde gebruikers van apparaten lezen |
microsoft.directory/devices/standard/read | Basiseigenschappen voor apparaten lezen |
microsoft.directory/directoryRoles/eligibleMembers/read | De in aanmerking komende leden van Microsoft Entra-rollen lezen |
microsoft.directory/directoryRoles/members/read | Alle leden van Microsoft Entra-rollen lezen |
microsoft.directory/directoryRoles/standard/read | Basiseigenschappen van Microsoft Entra-rollen lezen |
microsoft.directory/domains/standard/read | Basiseigenschappen voor domeinen lezen |
microsoft.directory/groups/appRoleAssignments/read | Toewijzingen van toepassingsrollen van groepen lezen |
microsoft.directory/groupSettings/standard/read | Basiseigenschappen voor groepsinstellingen lezen |
microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor sjablonen voor groepsinstellingen lezen |
microsoft.directory/groups/memberOf/read | De eigenschap memberOf lezen voor beveiligingsgroepen en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/members/read | Leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/owners/read | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/settings/read | Instellingen van groepen lezen |
microsoft.directory/groups/standard/read | Standaardeigenschappen van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/oAuth2PermissionGrants/standard/read | Basiseigenschappen voor OAuth 2.0-machtigingsverlening lezen |
microsoft.directory/organization/standard/read | Basiseigenschappen voor een organisatie lezen |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Vertrouwde certificeringsinstanties voor verificatie zonder wachtwoord lezen |
microsoft.directory/roleAssignments/standard/read | Basiseigenschappen voor roltoewijzingen lezen |
microsoft.directory/roleDefinitions/standard/read | Basiseigenschappen voor roldefinities lezen |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Roltoewijzingen van service-principals lezen |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Roltoewijzingen lezen die aan service-principals zijn toegewezen |
microsoft.directory/servicePrincipals/memberOf/read | De groepslidmaatschappen voor service-principals lezen |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverleningen van service-principals lezen |
microsoft.directory/servicePrincipals/ownedObjects/read | Objecten in eigendom van service-principals lezen |
microsoft.directory/servicePrincipals/owners/read | Eigenaren van service-principals lezen |
microsoft.directory/servicePrincipals/policies/read | Beleid van service-principals lezen |
microsoft.directory/servicePrincipals/standard/read | Basiseigenschappen van service-principals lezen |
microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen voor abonnementen lezen |
microsoft.directory/users/appRoleAssignments/read | Toewijzingen van toepassingsrollen voor gebruikers lezen |
microsoft.directory/users/deviceForResourceAccount/read | deviceForResourceAccount van gebruikers lezen |
microsoft.directory/users/directReports/read | De direct ondergeschikten voor gebruikers lezen |
microsoft.directory/users/inviteBy/read | De gebruiker lezen die een externe gebruiker heeft uitgenodigd voor een tenant |
microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
microsoft.directory/users/manager/read | Manager van gebruikers lezen |
microsoft.directory/users/memberOf/read | De groepslidmaatschappen van gebruikers lezen |
microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverlening voor gebruikers lezen |
microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
microsoft.directory/users/ownedObjects/read | Objecten in eigendom van gebruikers lezen |
microsoft.directory/users/photo/read | Foto van gebruikers lezen |
microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
microsoft.directory/users/scopedRoleMemberOf/read | Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid |
microsoft.directory/users/sponsors/read | Sponsors van gebruikers lezen |
microsoft.directory/users/standard/read | Basiseigenschappen voor gebruikers lezen |
Adreslijstsynchronisatieaccounts
Niet gebruiken. Deze rol wordt automatisch toegewezen aan de Microsoft Entra Connect-service en is niet bedoeld of ondersteund voor ander gebruik.
Acties | Beschrijving |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Objecten lezen en beheren om on-premises adreslijstsynchronisatie in te schakelen |
Adreslijstschrijvers
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen basisinformatie over gebruikers, groepen en service-principals lezen en bijwerken.
Beheerder van domeinnamen
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen domeinnamen beheren (lezen, toevoegen, verifiëren, bijwerken en verwijderen). Ze kunnen ook directorygegevens over gebruikers, groepen en toepassingen lezen, aangezien deze objecten domeinafhankelijkheden hebben. Voor on-premises omgevingen kunnen gebruikers met deze rol domeinnamen configureren voor federatie, zodat gekoppelde gebruikers altijd on-premises worden geverifieerd. Deze gebruikers kunnen zich vervolgens aanmelden bij Microsoft Entra-services met hun on-premises wachtwoorden via eenmalige aanmelding. Federatie-instellingen moeten worden gesynchroniseerd via Microsoft Entra Connect, zodat gebruikers ook gemachtigd zijn om Microsoft Entra Connect te beheren.
Dynamics 365-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft Dynamics 365 Online, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Servicebeheerdersrollen gebruiken om uw tenant te beheren voor meer informatie.
Notitie
In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Dynamics 365-servicebeheerder. In Azure Portal heet dit Dynamics 365-beheerder.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Dynamics 365 Business Central-beheerder
Wijs de rol Dynamics 365 Business Central-beheerder toe aan gebruikers die de volgende taken moeten uitvoeren:
- Toegang tot Dynamics 365 Business Central-omgevingen
- Alle beheertaken uitvoeren in omgevingen
- De levenscyclus van de omgevingen van de klant beheren
- De extensies controleren die zijn geïnstalleerd in omgevingen
- Upgrades van omgevingen beheren
- Gegevensexports uitvoeren van omgevingen
- Dashboards voor azure- en Microsoft 365-servicestatus lezen en configureren
Deze rol biedt geen machtigingen voor andere Dynamics 365-producten.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.directory/domains/standard/read | Basiseigenschappen voor domeinen lezen |
microsoft.directory/organization/standard/read | Basiseigenschappen voor een organisatie lezen |
microsoft.directory/subscribedSkus/standard/read | Basiseigenschappen voor abonnementen lezen |
microsoft.directory/users/standard/read | Basiseigenschappen voor gebruikers lezen |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Alle aspecten van Dynamics 365 Business Central beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Edge-beheerder
Gebruikers in deze rol kunnen de lijst met bedrijfssites maken en beheren die vereist zijn voor de Internet Explorer-modus op Microsoft Edge. Deze rol verleent machtigingen voor het maken, bewerken en publiceren van de sitelijst en biedt bovendien toegang tot het beheren van ondersteuningstickets. Meer informatie
Acties | Beschrijving |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Edge beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Exchange-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft Exchange Online, wanneer de service aanwezig is. Biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
In de Microsoft Graph API en Microsoft Graph PowerShell heeft deze rol de naam Exchange-servicebeheerder. In De Azure-portal heeft deze de naam Exchange-beheerder. In het Exchange-beheercentrum heeft het de naam Exchange Online-beheerder.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Exchange Online-beveiligingsbeleid maken en beheren in Microsoft 365 Backup |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Herstelsessie voor Exchange Online lezen en configureren in Microsoft 365 Backup |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde Exchange Online-postvakken in M365 Backup |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Postvakken beheren die zijn toegevoegd aan Exchange Online-beveiligingsbeleid in Microsoft 365 Backup |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Postvakken beheren die zijn toegevoegd om een sessie te herstellen voor Exchange Online in Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.exchange/allEntities/basic/allTasks | Alle aspecten van Exchange Online beheren |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van Exchange-ontvangers
Gebruikers met deze rol hebben leestoegang tot ontvangers en schrijftoegang tot de kenmerken van deze ontvangers in Exchange Online. Zie Ontvangers in Exchange Server voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Alle taken met betrekking tot migratie van ontvangers beheren in Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Alle ontvangers maken en verwijderen en alle eigenschappen van ontvangers lezen en bijwerken in Exchange Online |
Beheerder van externe id-gebruikersstromen
Gebruikers met deze rol kunnen gebruikersstromen (ook wel 'ingebouwde beleidsregels' genoemd) maken en beheren in de Azure-portal. Deze gebruikers kunnen HTML/CSS/JavaScript-inhoud aanpassen, MFA-vereisten wijzigen, claims selecteren in het token, API-connectors en hun referenties beheren en sessie-instellingen configureren voor alle gebruikersstromen in de Microsoft Entra-organisatie. Aan de andere kant bevat deze rol niet de mogelijkheid om gebruikersgegevens te controleren of wijzigingen aan te brengen in de kenmerken die zijn opgenomen in het organisatieschema. Wijzigingen in Identity Experience Framework-beleidsregels (ook wel 'aangepaste beleidsregels' genoemd) vallen ook buiten het bereik van deze rol.
Acties | Beschrijving |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Gebruikersstroom in Azure Active Directory B2C lezen en configureren |
Beheerder van externe id-gebruikersstroomkenmerken
Gebruikers met deze rol voegen aangepaste kenmerken toe of verwijderen die beschikbaar zijn voor alle gebruikersstromen in de Microsoft Entra-organisatie. Als zodanig kunnen gebruikers met deze rol elementen wijzigen of nieuwe toevoegen aan het eindgebruikersschema en het gedrag van alle gebruikersstromen beïnvloeden, wat indirect leidt tot wijzigingen in het soort gegevens waar eindgebruikers om kunnen worden gevraagd en die uiteindelijk als claims naar toepassingen worden verzonden. Gebruikers met deze rol kunnen geen gebruikersstromen bewerken.
Acties | Beschrijving |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Gebruikerskenmerk in Azure Active Directory B2C lezen en configureren |
Beheerder van externe id-providers
Dit is een bevoorrechte rol. Deze beheerder beheert federatie tussen Microsoft Entra-organisaties en externe id-providers. Met deze rol kunnen gebruikers nieuwe id-providers toevoegen en alle beschikbare instellingen configureren (bijvoorbeeld verificatiepad, service-id, toegewezen sleutelcontainers). Deze gebruiker kan de Microsoft Entra-organisatie inschakelen om verificaties van externe id-providers te vertrouwen. De resulterende invloed op eindgebruikerservaringen is afhankelijk van het type organisatie:
- Microsoft Entra-organisaties voor werknemers en partners: De toevoeging van een federatie (bijvoorbeeld met Gmail) heeft onmiddellijk invloed op alle gastuitnodigingen die nog niet zijn ingewisseld. Zie Google toevoegen als een id-provider voor B2B-gastgebruikers.
- Azure Active Directory B2C-organisaties: de toevoeging van een federatie (bijvoorbeeld met Facebook of met een andere Microsoft Entra-organisatie) heeft niet onmiddellijk invloed op de stromen van eindgebruikers totdat de id-provider is toegevoegd als een optie in een gebruikersstroom (ook wel een ingebouwd beleid genoemd). Zie Een Microsoft-account configureren als een id-provider voor een voorbeeld. Als u gebruikersstromen wilt wijzigen, is de beperkte rol 'Beheerder van B2C-gebruikersstromen' vereist.
Infrastructuurbeheerder
Gebruikers met deze rol hebben globale machtigingen in Microsoft Fabric en Power BI, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Understanding Fabric-beheerdersrollen voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.powerApps.powerBI/allEntities/allTasks | Alle aspecten van Fabric en Power BI beheren |
Globale beheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Microsoft Entra ID, evenals services die gebruikmaken van Microsoft Entra-identiteiten zoals de Microsoft 365 Defender-portal, de Microsoft Purview-nalevingsportal, Exchange Online, SharePoint Online en Skype voor Bedrijven Online. Globale beheerders kunnen directoryactiviteitslogboeken bekijken. Globale beheerders kunnen bovendien hun toegangsrechten uitbreiden, zodat ze alle Azure-abonnementen en -beheergroepen kunnen beheren. Hierdoor kunnen globale beheerders volledige toegang krijgen tot alle Azure-resources met behulp van de respectieve Microsoft Entra-tenant. De persoon die zich aanmeldt voor de Microsoft Entra-organisatie wordt een globale beheerder. Er kan meer dan één globale beheerder in uw bedrijf zijn. Globale beheerders kunnen het wachtwoord voor elke gebruiker en alle andere beheerders opnieuw instellen. Een globale beheerder kan de toewijzing van een globale beheerder niet verwijderen. Dit is om te voorkomen dat een organisatie nul globale beheerders heeft.
Notitie
Als best practice raadt Microsoft u aan om de rol Globale beheerder toe te wijzen aan minder dan vijf personen in uw organisatie. Zie Best practices voor Microsoft Entra-rollen voor meer informatie.
Algemene lezer
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen instellingen en beheergegevens in Microsoft 365-services lezen, maar kunnen geen beheeracties uitvoeren. Globale lezer is de alleen-lezen tegenhanger voor Globale beheerder. Wijs Globale lezer in plaats van Globale beheerder toe voor planning, audits of onderzoeken. Gebruik Globale lezer in combinatie met andere beperkte beheerdersrollen, zoals Exchange-beheerder, om het gemakkelijker te maken werk gedaan te krijgen zonder de rol Globale beheerder toe te wijzen. Globale lezer werkt met Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, Teams-beheercentrum, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal, Azure Portal en Apparaatbeheer-beheercentrum.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan geen toegang krijgen tot het gebied Services aanschaffen in de Microsoft 365-beheercentrum.
Notitie
De rol Globale lezer heeft de volgende beperkingen:
- OneDrive-beheercentrum - Het OneDrive-beheercentrum biedt geen ondersteuning voor de rol Globale lezer
- Microsoft 365 Defender-portal - Globale lezer kan geen SCC-auditlogboeken lezen, inhoud zoeken of secure score bekijken.
- Teams-beheercentrum - Globale lezer kan de levenscyclus van Teams, analyse en rapporten, ip-telefoonapparaatbeheer en de app-catalogus niet lezen. Zie Microsoft Teams-beheerdersrollen gebruiken om Teams te beheren voor meer informatie.
- Privileged Access Management biedt geen ondersteuning voor de rol globale lezer.
- Azure Information Protection - Global Reader wordt alleen ondersteund voor centrale rapportage en wanneer uw Microsoft Entra-organisatie zich niet op het geïntegreerde labelplatform bevindt.
- SharePoint - Globale lezer heeft leestoegang tot SharePoint Online PowerShell-cmdlets en Lees-API's.
- Power Platform-beheercentrum - Globale lezer wordt nog niet ondersteund in het Power Platform-beheercentrum.
- Microsoft Purview biedt geen ondersteuning voor de rol Globale lezer.
Globale beheerder voor beveiligde toegang
Wijs de rol Globale beveiligingstoegangsbeheerder toe aan gebruikers die het volgende moeten doen:
- Alle aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang maken en beheren
- Toegang tot openbare en privé-eindpunten beheren
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan geen bedrijfstoepassingen, toepassingsregistraties, voorwaardelijke toegang of toepassingsproxy-instellingen beheren
Acties | Beschrijving |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/applicationPolicies/standard/read | Standaardeigenschappen van toepassingsbeleidsregels lezen |
microsoft.directory/applications/applicationProxy/read | Alle eigenschappen van de toepassingsproxy lezen |
microsoft.directory/applications/owners/read | Eigenaren van toepassingen lezen |
microsoft.directory/applications/policies/read | Beleid van toepassingen lezen |
microsoft.directory/applications/standard/read | Standaardeigenschappen van toepassingen lezen |
microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
microsoft.directory/conditionalAccessPolicies/standard/read | Voorwaardelijke toegang voor beleid lezen |
microsoft.directory/connectorGroups/allProperties/read | Alle eigenschappen van connectorgroepen voor privénetwerken lezen |
microsoft.directory/connectors/allProperties/read | Alle eigenschappen van privénetwerkconnectors lezen |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
microsoft.directory/namedLocations/standard/read | Basiseigenschappen lezen van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
microsoft.networkAccess/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-netwerktoegang beheren |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Groepsbeheerder
Gebruikers met deze rol kunnen groepen en groepsinstellingen zoals naamgevings- en verloopbeleidsregels maken/beheren. Het is belangrijk om te begrijpen dat de gebruiker die deze rol krijgt toegewezen, alle groepen in de organisatie kan beheren voor verschillende workloads, zoals Teams, SharePoint, Yammer en Outlook. De gebruiker kan ook de verschillende groepsinstellingen beheren in verschillende beheerportals, zoals het Microsoft-beheercentrum, de Azure-portal en workloadspecifieke portals zoals het Teams- en SharePoint-beheercentrum.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/deletedItems.groups/delete | Groepen die niet meer kunnen worden hersteld, definitief verwijderen |
microsoft.directory/deletedItems.groups/restore | Voorlopig verwijderde groepen terugzetten naar de oorspronkelijke status |
microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
microsoft.directory/groups/basic/update | Basiseigenschappen voor beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/classification/update | De classificatie-eigenschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/create | Beveiligingsgroepen en Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/delete | Beveiligingsgroepen en Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/groupType/update | Eigenschappen bijwerken die van invloed zijn op het groepstype beveiligingsgroepen en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra-groepen bijwerken die moeten worden teruggeschreven naar on-premises met Microsoft Entra Connect |
microsoft.directory/groups/owners/update | Eigenaren van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
microsoft.directory/groups/restore | Groepen terugzetten vanuit een voorlopig verwijderde container |
microsoft.directory/groups/settings/update | Instellingen van groepen bijwerken |
microsoft.directory/groups/visibility/update | De zichtbaarheidseigenschap van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Afzender van gastuitnodigingen
Gebruikers in deze rol kunnen uitnodigingen voor gastgebruikers van Microsoft Entra B2B beheren wanneer de leden gebruikersinstelling kunnen uitnodigen , is ingesteld op Nee. Meer informatie over B2B-samenwerking op About Microsoft Entra B2B collaboration. Het bevat geen andere machtigingen.
Acties | Beschrijving |
---|---|
microsoft.directory/users/appRoleAssignments/read | Toewijzingen van toepassingsrollen voor gebruikers lezen |
microsoft.directory/users/deviceForResourceAccount/read | deviceForResourceAccount van gebruikers lezen |
microsoft.directory/users/directReports/read | De direct ondergeschikten voor gebruikers lezen |
microsoft.directory/users/inviteBy/read | De gebruiker lezen die een externe gebruiker heeft uitgenodigd voor een tenant |
microsoft.directory/users/inviteGuest | Gastgebruikers uitnodigen |
microsoft.directory/users/licenseDetails/read | Licentiegegevens van gebruikers lezen |
microsoft.directory/users/manager/read | Manager van gebruikers lezen |
microsoft.directory/users/memberOf/read | De groepslidmaatschappen van gebruikers lezen |
microsoft.directory/users/oAuth2PermissionGrants/read | Gedelegeerde machtigingsverlening voor gebruikers lezen |
microsoft.directory/users/ownedDevices/read | Apparaten in eigendom van gebruikers lezen |
microsoft.directory/users/ownedObjects/read | Objecten in eigendom van gebruikers lezen |
microsoft.directory/users/photo/read | Foto van gebruikers lezen |
microsoft.directory/users/registeredDevices/read | Geregistreerde apparaten van gebruikers lezen |
microsoft.directory/users/scopedRoleMemberOf/read | Lees het lidmaatschap van een gebruiker van een Microsoft Entra-rol, die is gericht op een beheereenheid |
microsoft.directory/users/sponsors/read | Sponsors van gebruikers lezen |
microsoft.directory/users/standard/read | Basiseigenschappen voor gebruikers lezen |
Helpdeskbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen wachtwoorden wijzigen, vernieuwingstokens ongeldig maken, ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services, en de servicestatus bewaken. Als een vernieuwingstoken ongeldig wordt gemaakt, wordt de gebruiker gedwongen zich opnieuw aan te melden. Of een helpdeskbeheerder het wachtwoord van een gebruiker opnieuw kan instellen en vernieuwingstokens ongeldig kan maken, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een helpdeskbeheerder wachtwoorden opnieuw kan instellen en vernieuwingstokens ongeldig kan maken.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk uitgebreide machtigingen in Microsoft Entra ID en elders niet verleend aan helpdeskbeheerders. Via dit pad kan een helpdeskbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Het delegeren van beheerdersmachtigingen aan subsets van gebruikers en het toepassen van beleidsregels op een subset van gebruikers is mogelijk met beheereenheden.
Deze rol heette eerder Wachtwoordbeheerder in Azure Portal. De naam is gewijzigd in helpdeskbeheerder, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Microsoft Graph PowerShell.
Hybrid Identity-beheerder
Dit is een bevoorrechte rol. Gebruikers in deze rol kunnen configuratie-instellingen voor inrichting van Active Directory maken, beheren en implementeren in Microsoft Entra-id met behulp van Cloud Provisioning, evenals Microsoft Entra Connect, passthrough-verificatie (PTA), wachtwoordhashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. Heeft geen toegang om Microsoft Entra Connect Health te beheren. Gebruikers kunnen ook problemen oplossen en logboeken bewaken met behulp van deze rol.
Identity Governance-beheerder
Gebruikers met deze rol kunnen Microsoft Entra ID-governance configuratie beheren, waaronder toegangspakketten, toegangsbeoordelingen, catalogi en beleid, zodat de toegang wordt goedgekeurd en gecontroleerd en gastgebruikers die geen toegang meer nodig hebben, worden verwijderd.
Acties | Beschrijving |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Afgeschaft) Toegangsbeoordelingen maken en verwijderen, alle eigenschappen van toegangsbeoordelingen lezen en bijwerken en toegangsbeoordelingen van groepen beheren in Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Toegangsbeoordelingen van toepassingsroltoewijzingen beheren in Microsoft Entra-id |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Toegangsbeoordelingen voor toegangspakkettoewijzingen beheren in rechtenbeheer |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Alle eigenschappen van toegangsbeoordelingen lezen voor lidmaatschap in beveiligings- en Microsoft 365-groepen, inclusief groepen waaraan rollen kunnen worden toegewezen. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Alle eigenschappen van toegangsbeoordelingen bijwerken voor lidmaatschap in beveiligings- en Microsoft 365-groepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. |
microsoft.directory/accessReviews/definitions.groups/create | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen maken. |
microsoft.directory/accessReviews/definitions.groups/delete | Toegangsbeoordelingen voor lidmaatschap in beveiligings- en Microsoft 365-groepen verwijderen. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Resources maken en verwijderen en alle eigenschappen lezen en bijwerken in Microsoft Entra-rechtenbeheer |
microsoft.directory/groups/members/update | Leden van beveiligingsgroepen en Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Roltoewijzingen van service-principals bijwerken |
Insights-beheerder
Gebruikers met deze rol hebben toegang tot de volledige set beheermogelijkheden in de Microsoft Viva Insights-app. Deze rol heeft de mogelijkheid om directorygegevens te lezen, de servicestatus te bewaken, ondersteuningstickets in te dienen en toegang tot de aspecten van Insights-beheerdersinstellingen te krijgen.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.insights/allEntities/allProperties/allTasks | Alle aspecten van de Insights-app beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Insights-analist
Wijs de rol Insights-analist toe aan gebruikers die het volgende moeten doen:
- Gegevens analyseren in de Microsoft Viva Insights-app, maar niet configuratie-instellingen beheren
- Query's maken, beheren en uitvoeren
- Basisinstellingen en -rapporten bekijken in het Microsoft 365-beheercentrum
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
Acties | Beschrijving |
---|---|
microsoft.insights/queries/allProperties/allTasks | Query's uitvoeren en beheren in Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Insights-bedrijfsleider
Gebruikers met deze rol hebben toegang tot een set dashboards en inzichten via de Microsoft Viva Insights-app. Dit omvat volledige toegang tot alle dashboards en de functionaliteit voor inzichten en gegevensverkenning. Gebruikers met deze rol hebben geen toegang tot configuratie-instellingen van het product, wat de verantwoordelijkheid is van de Insights-beheerder.
Acties | Beschrijving |
---|---|
microsoft.insights/programs/allProperties/update | Programma's in de Insights-app implementeren en beheren |
microsoft.insights/reports/allProperties/read | Rapporten en het dashboard in de Insights-app bekijken |
Intune-beheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben algemene machtigingen in Microsoft Intune Online, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren. Zie Op rollen gebaseerd beheerbeheer (RBAC) met Microsoft Intune voor meer informatie.
Met deze rol kunnen alle beveiligingsgroepen worden gemaakt en beheerd. Intune-beheerder heeft echter geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat de beheerder geen eigenaars of lidmaatschappen van alle Microsoft 365-groepen in de organisatie kan bijwerken. Hij/zij kan echter de Microsoft 365-groep beheren die hij maakt als onderdeel van zijn/haar bevoegdheden voor eindgebruikers. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die hij/zij maakt, moet worden meegeteld tegen zijn quotum van 250.
Notitie
In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Intune-servicebeheerder. In De Azure-portal heeft deze de naam Intune-beheerder.
Kaizala-beheerder
Gebruikers met deze rol hebben algemene machtigingen om instellingen in Microsoft Kaizala te beheren, wanneer de service aanwezig is, evenals de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken. Daarnaast heeft de gebruiker toegang tot rapporten met betrekking tot acceptatie en gebruik van Kaizala door leden van de organisatie en bedrijfsrapporten die zijn gegenereerd met behulp van de Kaizala-acties.
Acties | Beschrijving |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Kennisbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle instellingen voor kennis, leren en intelligente functies in het Microsoft 365-beheercentrum. Ze hebben een algemeen begrip van de suite met producten, licentiegegevens en hebben verantwoordelijkheid voor het beheren van de toegang. De kennisbeheerder kan inhoud maken en beheren, zoals onderwerpen, acroniemen en leerbronnen. Daarnaast kunnen deze gebruikers inhoudscentrums maken, de servicestatus bewaken en serviceaanvragen maken.
Acties | Beschrijving |
---|---|
microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/createAsOwner | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Alle eigenschappen van inhoudsbegrip in het Microsoft 365-beheercentrum lezen en bijwerken |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Alle eigenschappen van het kennisnetwerk in het Microsoft 365-beheercentrum lezen en bijwerken |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Trainingsbronnen en alle eigenschappen daarvan beheren in de Learning App |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Alle eigenschappen van vertrouwelijkheidslabels in de beveiligings- en nalevingscentrums lezen |
microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Knowledge Base-beheer
Gebruikers met deze rol kunnen inhoud maken en beheren, zoals onderwerpen, acroniemen en leerinhoud. Ze zijn voornamelijk verantwoordelijk voor de kwaliteit en structuur van kennis. Deze gebruiker heeft volledige rechten voor onderwerpbeheeracties om een onderwerp te bevestigen, wijzigingen goed te keuren of een onderwerp te verwijderen. Gebruikers met deze rol kunnen ook taxonomieën beheren als onderdeel van het beheerhulpprogramma voor het termenarchief en inhoudscentrums maken.
Acties | Beschrijving |
---|---|
microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/createAsOwner | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen. De maker wordt toegevoegd als de eerste eigenaar. |
microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Analyserapporten van inhoudsbegrip in het Microsoft 365-beheercentrum lezen |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zichtbaarheid van onderwerpen van kennisnetwerk in het Microsoft 365-beheercentrum beheren |
microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Licentiebeheerder
Gebruikers in deze rol kunnen licentietoewijzingen lezen, toevoegen, verwijderen en bijwerken voor gebruikers, groepen (met behulp van groepslicenties) en de gebruikslocatie voor gebruikers beheren. De rol verleent niet de mogelijkheid om abonnementen aan te schaffen of te beheren, groepen te maken of beheren, of gebruikers te maken of beheren buiten de gebruikslocatie. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.directory/groups/assignLicense | Productlicenties toewijzen aan groepen voor groepslicenties |
microsoft.directory/groups/reprocessLicenseAssignment | Licentietoewijzingen voor groepslicenties opnieuw verwerken |
microsoft.directory/users/assignLicense | Gebruikerslicenties beheren |
microsoft.directory/users/reprocessLicenseAssignment | Licentietoewijzingen voor gebruikers opnieuw verwerken |
microsoft.directory/users/usageLocation/update | Gebruikslocatie van gebruikers bijwerken |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van levenscycluswerkstromen
Dit is een bevoorrechte rol. Wijs de rol 'Beheerder van levenscycluswerkstromen' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van werkstromen en taken maken en beheren die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra-id
- De uitvoering van geplande werkstromen controleren
- Werkstroomuitvoeringen op aanvraag starten
- Logboeken van werkstroomuitvoeringen inspecteren
Berichtencentrum-privacylezer
Gebruikers met deze rol kunnen alle meldingen in het Berichtencentrum bewaken, inclusief berichten over gegevensprivacy. Berichtencentrum-privacylezers ontvangen e-mailmeldingen, inclusief de berichten die betrekking hebben op gegevensprivacy, en kunnen zich afmelden via de voorkeuren van het Berichtencentrum. Alleen de globale beheerder en de Berichtencentrum-privacylezer kunnen berichten over gegevensprivacy lezen. Ook bevat deze rol de mogelijkheid om groepen, domeinen en abonnementen te bekijken. Deze rol is niet gemachtigd om serviceaanvragen te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.messageCenter/securityMessages/read | Beveiligingsberichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Berichtencentrum-lezer
Gebruikers met deze rol kunnen meldingen en adviesstatusupdates bewaken in het Berichtencentrum voor hun organisatie voor geconfigureerde services zoals Exchange, Intune en Microsoft Teams. Berichtencentrum-lezers ontvangen wekelijkse e-mailsamenvattingen van posts en updates en kunnen Berichtencentrum-posts delen in Microsoft 365. In Microsoft Entra-id hebben gebruikers die aan deze rol zijn toegewezen alleen-lezentoegang voor Microsoft Entra-services, zoals gebruikers en groepen. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Microsoft 365-migratiebeheerder
Wijs de rol Microsoft 365-migratiebeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:
- Gebruik Migration Manager in de Microsoft 365-beheercentrum om de migratie van inhoud naar Microsoft 365 te beheren, waaronder Teams-, OneDrive voor Bedrijven- en SharePoint-sites, van Google Drive, Dropbox, Box en Egnyte
- Migratiebronnen selecteren, migratie-inventarissen maken (zoals Google Drive-gebruikerslijsten), migraties plannen en uitvoeren en rapporten downloaden
- Nieuwe SharePoint-sites maken als de doelsites nog niet bestaan, SharePoint-lijsten maken onder de SharePoint-beheersites en items maken en bijwerken in SharePoint-lijsten
- Migratieprojectinstellingen en migratielevenscyclus voor taken beheren
- Machtigingstoewijzingen van bron naar doel beheren
Notitie
Met deze rol kunt u niet migreren vanuit bestandssharebronnen via het SharePoint-beheercentrum. U kunt de sharePoint-beheerdersrol gebruiken om te migreren van bestandssharebronnen.
Acties | Beschrijving |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Alle aspecten van Microsoft 365-migraties beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Lokale beheerder van Microsoft Entra-apparaat
Deze rol is alleen beschikbaar voor toewijzing als aanvullende lokale beheerder in Apparaatinstellingen. Gebruikers met deze rol worden lokale computerbeheerders op alle Windows 10-apparaten die lid zijn van Microsoft Entra ID. Ze hebben niet de mogelijkheid om apparaatobjecten in Microsoft Entra-id te beheren.
Acties | Beschrijving |
---|---|
microsoft.directory/groupSettings/standard/read | Basiseigenschappen voor groepsinstellingen lezen |
microsoft.directory/groupSettingTemplates/standard/read | Basiseigenschappen voor sjablonen voor groepsinstellingen lezen |
Microsoft Hardware Warranty Administrator
Wijs de rol Microsoft Hardware Warranty Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
- Geopende of gesloten garantieclaims zoeken en lezen
- Garantieclaims zoeken en lezen op serienummer
- Verzendadressen maken, lezen, bijwerken en verwijderen
- Verzendstatus voor openstaande garantieclaims lezen
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
- Berichtencentrumaankondigingen lezen in de Microsoft 365-beheercentrum
Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie selfservice voor uw Surface-garantie en serviceaanvragen voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Verzendadressen voor Microsoft-hardwaregarantieclaims maken, lezen, bijwerken en verwijderen, inclusief verzendadressen die door anderen zijn gemaakt |
microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle aspecten van Microsoft-hardwaregarantieclaims maken en beheren |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Microsoft Hardware Garantie Specialist
Wijs de rol Microsoft Hardware Warranty Specialist toe aan gebruikers die de volgende taken moeten uitvoeren:
- Nieuwe garantieclaims maken voor door Microsoft geproduceerde hardware, zoals Surface en HoloLens
- Garantieclaims lezen die ze hebben gemaakt
- Bestaande verzendadressen lezen en bijwerken
- Verzendstatus lezen voor openstaande garantieclaims die ze hebben gemaakt
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
Een garantieclaim is een verzoek om de hardware te laten repareren of vervangen overeenkomstig de voorwaarden van de garantie. Zie selfservice voor uw Surface-garantie en serviceaanvragen voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Verzendadressen lezen voor Microsoft-hardwaregarantieclaims, inclusief bestaande verzendadressen die door anderen zijn gemaakt |
microsoft.hardware.support/warrantyClaims/createAsOwner | Microsoft-hardwaregarantieclaims maken waarbij de maker de eigenaar is |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.hardware.support/shippingStatus/allProperties/read | Verzendstatus voor openstaande Microsoft-hardwaregarantieclaims lezen |
microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-hardwaregarantieclaims lezen |
Modern Commerce-beheerder
Niet gebruiken. Deze rol wordt automatisch vanuit Commerce toegewezen en is niet bedoeld of wordt niet ondersteund voor ander gebruik. Zie de onderstaande details.
De rol Modern Commerce-beheerder geeft bepaalde gebruikers toegang tot Microsoft 365-beheercentrum en bekijk de linkernavigatievermeldingen voor Thuisgebruik, Facturering en Ondersteuning. De beschikbare inhoud in deze omgevingen wordt beheerd door de commerce-specifieke rollen die aan gebruikers zijn toegewezen voor het beheren van producten die ze voor zichzelf of voor de organisatie hebben gekocht. Dit kunnen taken zijn zoals rekeningen betalen, of toegang tot factureringsaccounts en factureringsprofielen.
Gebruikers met de rol Modern Commerce-beheerder hebben doorgaans beheerdersmachtigingen in andere Microsoft-aankoopsystemen, maar hebben geen rollen globale beheerder of factureringsbeheerder die worden gebruikt voor toegang tot het beheercentrum.
Wanneer is de rol Modern Commerce-beheerder toegewezen?
- Selfservice-aankoop in het Microsoft 365-beheercentrum – Selfservice-aankoop biedt gebruikers de kans om nieuwe producten uit te proberen door deze zelf te kopen of zich er zelf voor te registreren. Deze producten worden beheerd in het beheercentrum. Gebruikers die een selfserviceaankoop doen, krijgen een rol toegewezen in het commercesysteem en de rol Modern Commerce-beheerder, zodat ze hun aankopen in het beheercentrum kunnen beheren. Beheerders kunnen selfserviceaankopen blokkeren (voor Fabric, Power BI, Power Apps, Power Automate) via PowerShell. Zie Veelgestelde vragen over selfservice-aankopen voor meer informatie.
- Aankopen van de commerciële Microsoft-marketplace : net als bij selfservice-aankoop, wordt de rol Modern Commerce-beheerder toegewezen wanneer een gebruiker een product of service koopt bij Microsoft AppSource of Azure Marketplace, als deze niet de rol globale beheerder of factureringsbeheerder heeft. In sommige gevallen worden gebruikers geblokkeerd en kunnen ze deze aankopen niet doen. Zie Commerciële marketplace van Microsoft voor meer informatie.
- Voorstellen van Microsoft – Een voorstel is een formeel aanbod van Microsoft voor uw organisatie om Microsoft-producten en -services te kopen. Wanneer de persoon die het voorstel accepteert, geen rol globale beheerder of factureringsbeheerder heeft in Microsoft Entra-id, krijgen ze zowel een handelsspecifieke rol toegewezen om het voorstel en de rol Modern Commerce-beheerder te voltooien voor toegang tot het beheercentrum. Wanneer ze toegang tot het beheercentrum krijgen, kunnen ze alleen functies gebruiken die zijn geautoriseerd door hun commerce-specifieke rol.
- Commerce-specifieke rollen – Aan sommige gebruikers worden commerce-specifieke rollen toegewezen. Als een gebruiker geen globale beheerder of factureringsbeheerder is, krijgt deze de rol Modern Commerce-beheerder, zodat deze toegang heeft tot het beheercentrum.
Als de rol Modern Commerce-beheerder niet is toegewezen aan een gebruiker, hebben ze geen toegang meer tot Microsoft 365-beheercentrum. Als de gebruiker producten voor zichzelf of voor uw organisatie beheerde, kan hij/zij die niet meer beheren. Dit kan het toewijzen van licenties, het wijzigen van betalingswijzen, het betalen van facturen of andere taken voor het beheren van abonnementen omvatten.
Acties | Beschrijving |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Alle aspecten van het Volume Licensing Service Center beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/basic/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Netwerkbeheerder
Gebruikers met deze rol kunnen aanbevelingen voor de netwerkperimeterarchitectuur van Microsoft bekijken die zijn gebaseerd op netwerktelemetrie van hun gebruikerslocaties. Netwerkprestaties voor Microsoft 365 zijn afhankelijk van zorgvuldige netwerkperimeterarchitectuur van zakelijke klanten, wat over het algemeen gebruikerslocatiespecifiek is. Met deze rol kunt u gedetecteerde gebruikerslocaties bewerken en netwerkparameters voor die locaties configureren om verbeterde telemetriemetingen en ontwerpaanbevelingen mogelijk te maken.
Acties | Beschrijving |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Alle aspecten van netwerklocaties beheren |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder van Office-apps
Gebruikers met deze rol kunnen cloudinstellingen van Microsoft 365-apps beheren. Dit omvat het beheer van cloudbeleidsregels, selfservice-downloadbeheer en de mogelijkheid om aan Office-apps gerelateerde rapporten te bekijken. Deze rol biedt ook de mogelijkheid om ondersteuningstickets te beheren en de servicestatus in het hoofdbeheercentrum te bewaken. Gebruikers die zijn toegewezen aan deze rol, kunnen ook de communicatie beheren van nieuwe functies in Office-apps.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.userCommunication/allEntities/allTasks | Zichtbaarheid van berichten over 'wat is er nieuw' lezen en bijwerken |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Huisstijlbeheerder van organisatie
Wijs de rol Huisstijlbeheerder van de organisatie toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van de huisstijl van de organisatie in een tenant beheren
- Huisstijlthema's lezen, maken, bijwerken en verwijderen
- Het standaardthema voor huisstijl en alle thema's voor huisstijllokalisatie beheren
Acties | Beschrijving |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | loginTenantBranding maken en verwijderen en alle eigenschappen lezen en bijwerken |
Fiatteur voor organisatieberichten
Wijs de rol Fiatteur voor organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:
- Nieuwe organisatieberichten controleren, goedkeuren of afwijzen voor bezorging in de Microsoft 365-beheercentrum voordat ze worden verzonden naar gebruikers met behulp van het Microsoft 365-organisatieberichtenplatform
- Alle aspecten van organisatieberichten lezen
- Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
Acties | Beschrijving |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Alle aspecten van Microsoft 365-organisatieberichten lezen |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Nieuwe organisatieberichten goedkeuren of afwijzen voor bezorging in de Microsoft 365-beheercentrum |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Schrijver van organisatieberichten
Wijs de rol Schrijver van organisatieberichten toe aan gebruikers die de volgende taken moeten uitvoeren:
- Organisatieberichten schrijven, publiceren en verwijderen met Microsoft 365-beheercentrum of Microsoft Intune
- Opties voor bezorging van organisatieberichten beheren met Microsoft 365-beheercentrum of Microsoft Intune
- Resultaten van de bezorging van organisatieberichten lezen met Microsoft 365-beheercentrum of Microsoft Intune
- Gebruiksrapporten en de meeste instellingen in de Microsoft 365-beheercentrum weergeven, maar kunnen geen wijzigingen aanbrengen
Acties | Beschrijving |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Alle ontwerpaspecten van Microsoft 365-organisatieberichten beheren |
microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Laag1-ondersteuning voor partner
Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen alleen voor niet-beheerders wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.
Laag2-ondersteuning voor partner
Dit is een bevoorrechte rol. Niet gebruiken. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit de Microsoft Entra-id. Deze rol is bedoeld voor gebruik door een klein aantal Microsoft-wederverkooppartners en is niet bedoeld voor algemeen gebruik.
Belangrijk
Met deze rol kunnen voor alle niet-beheerders en beheerders (inclusief globale beheerders) wachtwoorden opnieuw worden ingesteld en vernieuwingstokens ongeldig worden gemaakt. Deze rol mag niet worden gebruikt omdat deze is afgeschaft.
Wachtwoordbeheerder
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben beperkte mogelijkheden om wachtwoorden te beheren. Deze rol verleent niet de mogelijkheid om serviceaanvragen te beheren of de servicestatus te bewaken. Of een wachtwoordbeheerder het wachtwoord van een gebruiker opnieuw kan instellen, is afhankelijk van de rol waaraan de gebruiker is toegewezen. Zie Wie wachtwoorden opnieuw kan instellen voor een lijst met de rollen waarvoor een wachtwoordbeheerder wachtwoorden opnieuw kan instellen.
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
Beheerder van machtigingenbeheer
Wijs de beheerdersrol Machtigingenbeheer toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van Microsoft Entra-machtigingsbeheer beheren wanneer de service aanwezig is
Meer informatie over rollen en beleidsregels voor machtigingenbeheer vindt u in Informatie over rollen/beleid weergeven.
Acties | Beschrijving |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Entra-machtigingsbeheer beheren |
Power Platform-beheerder
Gebruikers met deze rol kunnen alle aspecten van omgevingen, Power Apps, stromen en beleid voor preventie van gegevensverlies maken en beheren. Daarnaast hebben gebruikers met deze rol de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.dynamics365/allEntities/allTasks | Alle aspecten van Dynamics 365 beheren |
microsoft.flow/allEntities/allTasks | Alle aspecten van Microsoft Power Automate beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.powerApps/allEntities/allTasks | Alle aspecten van Power Apps beheren |
Printerbeheerder
Gebruikers met deze rol kunnen printers registreren en alle aspecten van alle printerconfiguraties in de Microsoft Universal Print-oplossing, zoals de Universal Print Connector-instellingen, beheren. Ze kunnen akkoord gaan met alle aanvragen voor gedelegeerde afdrukmachtigingen. Printerbeheerders hebben ook toegang tot het afdrukken van rapporten.
Acties | Beschrijving |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Printers en connectors maken en verwijderen, en alle eigenschappen in Microsoft Print lezen en bijwerken |
Printertechnicus
Gebruikers met deze rol kunnen printers registreren en de printerstatus beheren in de Microsoft Universal Print-oplossing. Ze kunnen ook alle connectorgegevens lezen. Belangrijke taken die een printertechnicus niet kan uitvoeren, zijn het instellen van gebruikersmachtigingen voor printers en het delen van printers.
Acties | Beschrijving |
---|---|
microsoft.azure.print/connectors/allProperties/read | Alle eigenschappen van connectors in Microsoft Print lezen |
microsoft.azure.print/printers/allProperties/read | Alle eigenschappen van printers in Microsoft Print lezen |
microsoft.azure.print/printers/basic/update | Basiseigenschappen van printers in Microsoft Print bijwerken |
microsoft.azure.print/printers/register | Printers in Microsoft Print registreren |
microsoft.azure.print/printers/unregister | De registratie van printers in Microsoft Print ongedaan maken |
Bevoorrechte verificatiebeheerder
Dit is een bevoorrechte rol. Wijs de rol Privileged Authentication Administrator toe aan gebruikers die het volgende moeten doen:
- Stel een verificatiemethode (inclusief wachtwoorden) in of stel deze opnieuw in voor elke gebruiker, inclusief globale beheerders.
- Verwijder of herstel alle gebruikers, met inbegrip van globale beheerders. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
- Dwing gebruikers af om zich opnieuw te registreren op basis van bestaande niet-wachtwoordreferenties (zoals MFA of FIDO2) en MFA in te trekken op het apparaat, waarbij wordt gevraagd om MFA bij de volgende aanmelding van alle gebruikers.
- Gevoelige eigenschappen voor alle gebruikers bijwerken. Zie Voor meer informatie wie gevoelige acties kan uitvoeren.
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum.
- Certificeringsinstanties configureren met een op PKI gebaseerd vertrouwensarchief (preview)
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan MFA per gebruiker niet beheren in de verouderde MFA-beheerportal.
In de volgende tabel worden de mogelijkheden van verificatiegerelateerde rollen vergeleken.
Rol | Verificatiemethoden van de gebruiker beheren | MFA per gebruiker beheren | MFA-instellingen beheren | Verificatiemethodebeleid beheren | Wachtwoordbeveiligingsbeleid beheren | Gevoelige eigenschappen bijwerken | Gebruikers verwijderen en herstellen |
---|---|---|---|---|---|---|---|
Verificatiebeheerder | Ja voor sommige gebruikers | Ja voor sommige gebruikers | Ja | No | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Beheerder van bevoegde verificatie | Ja voor alle gebruikers | Ja voor alle gebruikers | Nee | Nee | Nee | Ja voor alle gebruikers | Ja voor alle gebruikers |
Beheerder van verificatiebeleid | Nr. | Ja | Ja | Ja | Ja | No | Nee |
Gebruikersbeheerder | Nee | Nee | Nee | Nee | Nee | Ja voor sommige gebruikers | Ja voor sommige gebruikers |
Belangrijk
Gebruikers met deze rol kunnen referenties wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als de referenties van een gebruiker worden gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk bevoegde machtigingen in Microsoft Entra-id en elders niet verleend aan verificatiebeheerders. Via dit pad kan een verificatiebeheerder de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal en Microsoft Purview-nalevingsportal- en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Beheerder voor bevoorrechte rollen
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Microsoft Entra ID en binnen Microsoft Entra Privileged Identity Management. Ze kunnen groepen maken en beheren die kunnen worden toegewezen aan Microsoft Entra-rollen. Daarnaast kunnen met deze rol alle aspecten van Privileged Identity Management en beheereenheden worden beheerd.
Belangrijk
Deze rol verleent de mogelijkheid om toewijzingen te beheren voor alle Microsoft Entra-rollen, inclusief de rol Globale beheerder. Deze rol bevat geen andere bevoegde mogelijkheden in Microsoft Entra-id, zoals het maken of bijwerken van gebruikers. Gebruikers die aan deze rol zijn toegewezen, kunnen echter aanvullende bevoegdheden aan zichzelf of anderen verlenen door aanvullende rollen toe te wijzen.
Rapportenlezer
Gebruikers met deze rol kunnen gebruiksgegevens en het rapportendashboard bekijken in Microsoft 365-beheercentrum en het contextpakket voor acceptatie in Fabric en Power BI. Daarnaast biedt de rol toegang tot alle aanmeldingslogboeken, auditlogboeken en activiteitenrapporten in Microsoft Entra-id en gegevens die worden geretourneerd door de Microsoft Graph-rapportage-API. Een gebruiker aan wie de rol Rapportenlezer is toegewezen, heeft alleen toegang tot relevante metrische gebruiks- en ingebruiknamegegevens. Ze hebben geen beheerdersmachtigingen voor het configureren van instellingen of toegang tot productspecifieke beheercentrums zoals Exchange. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.directory/auditLogs/allProperties/read | Alle eigenschappen in auditlogboeken lezen, met uitzondering van auditlogboeken voor aangepaste beveiligingskenmerken |
microsoft.directory/provisioningLogs/allProperties/read | Geef alle eigenschappen van inrichtingslogboeken weer |
microsoft.directory/signInReports/allProperties/read | Alle eigenschappen voor aanmeldingsrapporten lezen, inclusief bevoegde eigenschappen |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Zoekbeheerder
Gebruikers met deze rol hebben volledige toegang tot alle Microsoft Search-beheerfuncties in het Microsoft 365-beheercentrum. Daarnaast kunnen deze gebruikers het berichtencentrum bekijken, de servicestatus bewaken en serviceaanvragen maken.
Acties | Beschrijving |
---|---|
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Zoekredacteur
Gebruikers in deze rol kunnen inhoud voor Microsoft Search maken, beheren en verwijderen in de Microsoft 365-beheercentrum, waaronder bladwijzers, Q&As en locaties.
Acties | Beschrijving |
---|---|
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.search/content/manage | Inhoud maken en verwijderen en alle eigenschappen in Microsoft Search lezen en bijwerken |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beveiligingsbeheer
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben machtigingen voor het beheren van beveiligingsfuncties in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
In | Wel |
---|---|
Microsoft 365 Defender-portal | Beveiligingsgerelateerde beleidsregels bewaken in Microsoft 365-services Beveiligingsbedreigingen en -waarschuwingen beheren Rapporten weergeven |
Microsoft Entra ID Protection | Alle machtigingen van de rol Beveiligingslezer Alle id-beveiligingsbewerkingen uitvoeren, met uitzondering van het opnieuw instellen van wachtwoorden |
Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer Kan microsoft Entra-roltoewijzingen of -instellingen niet beheren |
Microsoft Purview-nalevingsportal | Beveiligingsbeleid beheren Beveiligingsbedreigingen bekijken, onderzoeken en erop reageren Rapporten weergeven |
Azure Advanced Threat Protection | Verdachte beveiligingsactiviteiten bewaken en erop reageren |
Microsoft Defender voor Eindpunt | Rollen toewijzen Machinegroepen beheren Detectie van eindpuntbedreigingen en geautomatiseerd herstel configureren Waarschuwingen bekijken, onderzoeken en erop reageren Machines/apparaatinventaris bekijken |
Intune | Wordt toegewezen aan de rol Intune Endpoint Security Manager |
Microsoft Defender voor Cloud-apps | Beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren |
Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
Slimme vergrendeling | Definieer de drempelwaarde en duur voor vergrendelingen wanneer mislukte aanmeldingsgebeurtenissen plaatsvinden. |
Wachtwoordbeveiliging | Configureer een aangepaste lijst met verboden wachtwoorden of on-premises wachtwoordbeveiliging. |
Synchronisatie tussen tenants | Configureer toegangsinstellingen voor meerdere tenants voor gebruikers in een andere tenant. Beveiligingsbeheerders kunnen geen gebruikers rechtstreeks maken en verwijderen, maar kunnen indirect gesynchroniseerde gebruikers maken en verwijderen uit een andere tenant wanneer beide tenants zijn geconfigureerd voor synchronisatie tussen tenants, een bevoegde machtiging. |
Beveiligingsoperator
Dit is een bevoorrechte rol. Gebruikers met deze rol kunnen waarschuwingen beheren en globale alleen-lezentoegang hebben voor beveiligingsfuncties, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management en Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
In | Wel |
---|---|
Microsoft 365 Defender-portal | Alle machtigingen van de rol Beveiligingslezer Waarschuwingen over beveiligingsbedreigingen bekijken, onderzoeken en erop reageren Beveiligingsinstellingen beheren in de Microsoft 365 Defender-portal |
Microsoft Entra ID Protection | Alle machtigingen van de rol Beveiligingslezer Voer alle id-beveiligingsbewerkingen uit, met uitzondering van het configureren of wijzigen van beleid op basis van risico's, het opnieuw instellen van wachtwoorden en het configureren van waarschuwingsmails. |
Privileged Identity Management | Alle machtigingen van de rol Beveiligingslezer |
Microsoft Purview-nalevingsportal | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren |
Microsoft Defender voor Eindpunt | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen. |
Intune | Alle machtigingen van de rol Beveiligingslezer |
Microsoft Defender voor Cloud-apps | Alle machtigingen van de rol Beveiligingslezer Beveiligingswaarschuwingen bekijken, onderzoeken en erop reageren |
Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
Beveiligingslezer
Dit is een bevoorrechte rol. Gebruikers met deze rol hebben globale alleen-lezentoegang voor beveiligingsgerelateerde functies, waaronder alle informatie in de Microsoft 365 Defender-portal, Microsoft Entra ID Protection, Privileged Identity Management, evenals de mogelijkheid om aanmeldingsrapporten en auditlogboeken van Microsoft Entra te lezen, en in Microsoft Purview-nalevingsportal. Zie Rollen en rollengroepen in Microsoft Defender voor Office 365 en Microsoft Purview-naleving voor meer informatie over Office 365-machtigingen.
In | Wel |
---|---|
Microsoft 365 Defender-portal | Beveiligingsgerelateerde beleidsregels bekijken in Microsoft 365-services Beveiligingsbedreigingen en -waarschuwingen bekijken Rapporten weergeven |
Microsoft Entra ID Protection | Alle id-beveiligingsrapporten en overzicht weergeven |
Privileged Identity Management | Heeft alleen-lezentoegang tot alle informatie die wordt weergegeven in Microsoft Entra Privileged Identity Management: beleid en rapporten voor Roltoewijzingen en beveiligingsbeoordelingen van Microsoft Entra. Kan zich niet registreren voor Microsoft Entra Privileged Identity Management of wijzigingen aanbrengen. In de Privileged Identity Management-portal of via PowerShell kan iemand in deze rol extra rollen activeren (bijvoorbeeld Beheerder van bevoorrechte rol), als de gebruiker hiervoor in aanmerking komt. |
Microsoft Purview-nalevingsportal | Beveiligingsbeleid bekijken Beveiligingsbedreigingen bekijken en onderzoeken Rapporten weergeven |
Microsoft Defender voor Eindpunt | Waarschuwingen weergeven en onderzoeken Wanneer u op rollen gebaseerd toegangsbeheer inschakelt in Microsoft Defender voor Eindpunt, verliezen gebruikers met alleen-lezenmachtigingen, zoals de rol Beveiligingslezer, toegang totdat ze een Microsoft Defender voor Eindpunt rol hebben toegewezen. |
Intune | Bekijkt gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens. Kan geen wijzigingen aanbrengen in Intune. |
Microsoft Defender voor Cloud-apps | Heeft leesmachtigingen. |
Microsoft 365-servicestatus | De status van Microsoft 365-services bekijken |
Serviceondersteuningsbeheerder
Gebruikers met deze rol kunnen ondersteuningsaanvragen maken en beheren met Microsoft voor Azure- en Microsoft 365-services en het servicedashboard en berichtencentrum bekijken in de Azure-portal en het Microsoft 365-beheercentrum. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
Deze rol werd eerder servicebeheerder genoemd in Azure Portal en Microsoft 365-beheercentrum. De naam is gewijzigd in serviceondersteuningsbeheerder, zodat deze overeenkomt met de bestaande naam in de Microsoft Graph API en Microsoft Graph PowerShell.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
SharePoint-beheerder
Gebruikers met deze rol hebben algemene machtigingen in Microsoft SharePoint Online, wanneer de service aanwezig is, evenals de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken. Zie Info over beheerdersrollen in het Microsoft 365-beheercentrum voor meer informatie.
Notitie
In de Microsoft Graph API en Microsoft Graph PowerShell heeft deze rol de naam SharePoint-servicebeheerder. In Azure Portal heeft deze de naam SharePoint-beheerder.
Notitie
Deze rol verleent ook machtigingen met een bepaald bereik aan de Microsoft Graph-API voor Microsoft Intune, waardoor beleidsregels met betrekking tot SharePoint- en OneDrive-resources kunnen worden beheerd en geconfigureerd.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | OneDrive-beveiligingsbeleid maken en beheren in Microsoft 365 Backup |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Herstelsessie voor OneDrive lezen en configureren in Microsoft 365 Backup |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde SharePoint-sites in M365 Backup |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Alle herstelpunten beheren die zijn gekoppeld aan geselecteerde OneDrive-accounts in M365 Backup |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | SharePoint-beveiligingsbeleid maken en beheren in Microsoft 365 Backup |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Herstelsessie voor SharePoint lezen en configureren in Microsoft 365 Backup |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Sites beheren die zijn toegevoegd aan SharePoint-beveiligingsbeleid in Microsoft 365 Backup |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Sites beheren die zijn toegevoegd aan herstelsessie voor SharePoint in Microsoft 365 Backup |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Accounts beheren die zijn toegevoegd aan OneDrive-beveiligingsbeleid in Microsoft 365 Backup |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Accounts beheren die zijn toegevoegd om de sessie te herstellen voor OneDrive in Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Alle aspecten van Microsoft 365-migraties beheren |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.sharePoint/allEntities/allTasks | Alle resources maken en verwijderen en standaardeigenschappen in SharePoint lezen en bijwerken |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
SharePoint Embedded-beheerder
Wijs de rol SharePoint Embedded Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle taken uitvoeren met Behulp van PowerShell, Microsoft Graph API of SharePoint-beheercentrum
- SharePoint Embedded-containers beheren, configureren en onderhouden
- SharePoint Embedded-containers inventariseren en beheren
- Machtigingen voor SharePoint Embedded-containers opsommen en beheren
- Opslag van SharePoint Embedded-containers in een tenant beheren
- Beveiligings- en nalevingsbeleid toewijzen aan SharePoint Embedded-containers
- Beveiligings- en nalevingsbeleid toepassen op SharePoint Embedded-containers in een tenant
Acties | Beschrijving |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Alle aspecten van SharePoint Embedded-containers beheren |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Skype voor Bedrijven-beheerder
Gebruikers met deze rol hebben globale machtigingen binnen Microsoft Skype voor Bedrijven, wanneer de service aanwezig is, en beheren Skype-specifieke gebruikerskenmerken in Microsoft Entra ID. Daarnaast biedt deze rol de mogelijkheid om ondersteuningstickets te beheren, de servicestatus te bewaken en toegang tot het Teams- en Skype voor Bedrijven-beheercentrum te krijgen. Het account moet ook een licentie voor Teams hebben om Teams PowerShell-cmdlets te kunnen uitvoeren. Zie Skype voor Bedrijven Licentiegegevens voor onlinebeheerders en Teams op Skype voor Bedrijven uitbreidingslicenties voor meer informatie.
Notitie
In de Microsoft Graph API en Microsoft Graph PowerShell heet deze rol Lync-servicebeheerder. In Azure Portal heeft deze de naam Skype voor Bedrijven Administrator.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Teams-beheerder
Gebruikers in deze rol kunnen alle aspecten van de Microsoft Teams-workload beheren via het Microsoft Teams - en Skype voor Bedrijven-beheercentrum en de respectieve PowerShell-modules. Dit omvat onder andere alle beheerhulpprogramma's met betrekking tot telefonie, berichten, vergaderingen en de teams zelf. Deze rol biedt ook de mogelijkheid om alle Microsoft 365-groepen te maken en beheren, ondersteuningstickets te beheren en de servicestatus te bewaken.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het standaard toegangsbeleid voor meerdere tenants bijwerken |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Basiseigenschappen van het standaard toegangsbeleid voor meerdere tenants lezen |
microsoft.directory/crossTenantAccessPolicy/partners/create | Toegangsbeleid voor meerdere tenants voor partners maken |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Teams-vergaderingsinstellingen voor meerdere clouds van het toegangsbeleid voor meerdere tenants voor partners bijwerken |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants voor partners lezen |
microsoft.directory/crossTenantAccessPolicy/standard/read | Basiseigenschappen van het toegangsbeleid voor meerdere tenants lezen |
microsoft.directory/externalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
microsoft.directory/externalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
microsoft.directory/externalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/pendingExternalUserProfiles/basic/update | Basiseigenschappen van externe gebruikersprofielen bijwerken in de uitgebreide directory voor Teams |
microsoft.directory/pendingExternalUserProfiles/create | Externe gebruikersprofielen maken in de uitgebreide directory voor Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Externe gebruikersprofielen verwijderen in de uitgebreide directory voor Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Standaardeigenschappen van externe gebruikersprofielen lezen in de uitgebreide directory voor Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Standaardeigenschappen van beleid voor het verlenen van machtigingen bijwerken |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/allEntities/allProperties/allTasks | Alle resources in Teams beheren |
Teams-communicatiebeheerder
Gebruikers in deze rol kunnen aspecten van de Microsoft Teams-workload met betrekking tot spraak en telefonie beheren. Dit omvat de beheerhulpprogramma's voor het toewijzen van telefoonnummers, spraak- en vergaderingsbeleidsregels en volledige toegang tot de hulpmiddelenset voor gespreksanalyse.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/callQuality/allProperties/read | Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
microsoft.teams/meetings/allProperties/allTasks | Vergaderingen beheren, inclusief vergaderingsbeleidsregels, configuraties en vergaderingsbruggen |
microsoft.teams/voice/allProperties/allTasks | Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers |
Ondersteuningstechnicus voor Teams-communicatie
Gebruikers in deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in het Beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen de volledige gespreksrecordgegevens bekijken van alle betreffende deelnemers. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/callQuality/allProperties/read | Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
Ondersteuningsspecialist voor Teams-communicatie
Gebruikers in deze rol kunnen communicatieproblemen in Microsoft Teams en Skype voor Bedrijven oplossen met behulp van de hulpprogramma's voor het oplossen van problemen met gebruikersoproepen in het Beheercentrum van Microsoft Teams en Skype voor Bedrijven. Gebruikers met deze rol kunnen alleen de gebruikersgegevens in het gesprek bekijken voor een specifieke, opgezochte gebruiker. Deze rol heeft geen toegang om ondersteuningstickets te bekijken, maken of beheren.
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/callQuality/standard/read | Basisgegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
Teams-apparaatbeheerder
Gebruikers met deze rol kunnen Teams-gecertificeerde apparaten beheren vanuit het Teams-beheercentrum. Met deze rol kunnen alle apparaten in één oogopslag worden bekeken, met de mogelijkheid om apparaten te zoeken en te filteren. De gebruiker kan gegevens over elk apparaat controleren, waaronder het aangemelde account en het merk en model van het apparaat. De gebruiker kan de instellingen op het apparaat wijzigen en de softwareversies bijwerken. Deze rol verleent geen machtigingen om de Teams-activiteit en gesprekskwaliteit van het apparaat te controleren.
Acties | Beschrijving |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/devices/standard/read | Alle aspecten van Teams-gecertificeerde apparaten beheren, inclusief configuratiebeleidsregels |
Teams Telefoniebeheerder
Wijs de rol Teams Telefoniebeheerder toe aan gebruikers die de volgende taken moeten uitvoeren:
- Spraak- en telefonie beheren, waaronder belbeleid, beheer en toewijzing van telefoonnummers en spraaktoepassingen
- Toegang tot alleen pstN-gebruiksrapporten (Public Switched Telephone Network) vanuit het Teams-beheercentrum
- Gebruikersprofielpagina weergeven
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties | Beschrijving |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health lezen en configureren |
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.directory/authorizationPolicy/standard/read | Standaardeigenschappen van autorisatiebeleid lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Alle aspecten van Skype voor Bedrijven Online beheren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.teams/callQuality/allProperties/read | Alle gegevens in het Dashboard Oproepkwaliteit (DOK) lezen |
microsoft.teams/voice/allProperties/allTasks | Spraak beheren, inclusief oproepbeleidsregels en inventarisatie en toewijzing van telefoonnummers |
Maker van tenant
Wijs de rol TenantMaker toe aan gebruikers die de volgende taken moeten uitvoeren:
- Maak zowel Microsoft Entra- als Azure Active Directory B2C-tenants, zelfs als de wisselknop voor het maken van de tenant is uitgeschakeld in de gebruikersinstellingen
Notitie
De makers van de tenant krijgen de rol Globale beheerder toegewezen voor de nieuwe tenants die ze maken.
Acties | Beschrijving |
---|---|
microsoft.directory/tenantManagement/tenants/create | Nieuwe tenants maken in Microsoft Entra-id |
Lezer van gebruiksoverzichtsrapporten
Wijs de rol Lezer voor gebruiksoverzichtsrapporten toe aan gebruikers die de volgende taken moeten uitvoeren in de Microsoft 365-beheercentrum:
- De gebruiksrapporten en acceptatiescore weergeven
- Organisatie-inzichten lezen, maar geen persoonlijke informatie (PII) van gebruikers
Met deze rol kunnen gebruikers alleen gegevens op organisatieniveau weergeven met de volgende uitzonderingen:
- Gebruikers van leden kunnen gebruikersbeheergegevens en -instellingen bekijken.
- Gastgebruikers aan wie deze rol is toegewezen, kunnen geen gebruikersbeheergegevens en -instellingen weergeven.
Acties | Beschrijving |
---|---|
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Gebruikersbeheerder
Dit is een bevoorrechte rol. Wijs de rol Gebruikersbeheerder toe aan gebruikers die het volgende moeten doen:
Machtiging | Meer informatie |
---|---|
Gebruikers maken | |
De meeste gebruikerseigenschappen voor alle gebruikers bijwerken, inclusief alle beheerders | Wie kan gevoelige acties uitvoeren |
Gevoelige eigenschappen (inclusief user principal name) voor sommige gebruikers bijwerken | Wie kan gevoelige acties uitvoeren |
Sommige gebruikers uitschakelen of inschakelen | Wie kan gevoelige acties uitvoeren |
Sommige gebruikers verwijderen of herstellen | Wie kan gevoelige acties uitvoeren |
Gebruikersweergaven maken en beheren | |
Alle groepen maken en beheren | |
Licenties toewijzen en lezen voor alle gebruikers, inclusief alle beheerders | |
Wachtwoorden opnieuw instellen | Wie kan wachtwoorden opnieuw instellen |
Vernieuwingstokens ongeldig maken | Wie kan wachtwoorden opnieuw instellen |
(FIDO-)apparaatsleutels bijwerken | |
Beleid voor wachtwoordverloop bijwerken | |
Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum | |
Servicestatus bewaken |
Gebruikers met deze rol kunnen het volgende niet doen:
- Kan MFA niet beheren.
- Kan de referenties niet wijzigen of MFA opnieuw instellen voor leden en eigenaren van een roltoewijzingsgroep.
- Kan gedeelde postvakken niet beheren.
- Kan geen beveiligingsvragen wijzigen voor het opnieuw instellen van wachtwoorden.
Belangrijk
Gebruikers met deze rol kunnen wachtwoorden wijzigen voor personen die toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuratie binnen en buiten Microsoft Entra-id. Als het wachtwoord van een gebruiker wordt gewijzigd, kan dit betekenen dat de identiteit en machtigingen van die gebruiker kunnen worden aangenomen. Voorbeeld:
- Eigenaren van toepassingsregistratie en bedrijfstoepassingen, die de referenties van apps kunnen beheren waarvan ze eigenaar zijn. Deze apps hebben mogelijk uitgebreide machtigingen in Microsoft Entra-id en elders niet verleend aan gebruikersbeheerders. Via dit pad kan een gebruikersbeheerder mogelijk de identiteit van een toepassingseigenaar aannemen en vervolgens de identiteit van een bevoegde toepassing aannemen door de referenties voor de toepassing bij te werken.
- Eigenaren van Azure-abonnementen, die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens of kritieke configuraties in Azure.
- Eigenaren van beveiligingsgroepen en Microsoft 365-groepen, die groepslidmaatschap kunnen beheren. Deze groepen kunnen toegang verlenen tot gevoelige of persoonlijke informatie of kritieke configuratie in Microsoft Entra-id en elders.
- Beheerders in andere services buiten Microsoft Entra ID, zoals Exchange Online, Microsoft 365 Defender-portal, Microsoft Purview-nalevingsportal en human resources-systemen.
- Niet-beheerders, zoals leidinggevenden, juridisch adviseurs en human resources-medewerkers die mogelijk toegang hebben tot gevoelige of persoonlijke gegevens.
Success Manager van gebruikerservaring
Wijs de rol User Experience Success Manager toe aan gebruikers die de volgende taken moeten uitvoeren:
- Gebruiksrapporten op organisatieniveau lezen voor Microsoft 365-apps en services, maar niet voor gebruikersgegevens
- Bekijk de productfeedback van uw organisatie, NPS-enquêteresultaten (Net Promoter Score) en help artikelweergaven om communicatie- en trainingsmogelijkheden te identificeren
- Berichten en servicestatusgegevens van berichten in het berichtencentrum lezen
Acties | Beschrijving |
---|---|
microsoft.commerce.billing/purchases/standard/read | Lees aankoopservices in het M365-beheercentrum. |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Alle aspecten van Microsoft 365-organisatieberichten lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.usageReports/allEntities/standard/read | Geaggregeerde Office 365-gebruiksrapporten op tenantniveau lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Beheerder voor virtuele bezoeken
Gebruikers met deze rol kunnen de volgende taken uitvoeren:
- Alle aspecten van virtuele bezoeken in Bookings beheren en configureren in het Microsoft 365-beheercentrum en in de Teams EHR-connector
- Gebruiksrapporten weergeven voor virtuele bezoeken in het Teams-beheercentrum, Microsoft 365-beheercentrum, Infrastructuur en Power BI
- Functies en instellingen bekijken in het Microsoft 365-beheercentrum, maar geen instellingen bewerken
Virtuele bezoeken zijn een eenvoudige manier om online- en videoafspraken voor medewerkers en deelnemers te plannen en beheren. Gebruiksrapportage kan bijvoorbeeld laten zien hoe het verzenden van sms-berichten vóór afspraken ervoor kan zorgen dat minder personen niet komen opdagen voor hun afspraak.
Acties | Beschrijving |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Informatie en metrische gegevens over virtuele bezoeken beheren en delen vanuit beheercentra of de app Virtuele bezoeken |
Viva Goals Administrator
Wijs de rol Viva Goals Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van de Microsoft Viva Goals-toepassing beheren en configureren
- Microsoft Viva Goals-beheerdersinstellingen configureren
- Microsoft Entra-tenantgegevens lezen
- Microsoft 365-servicestatus bewaken
- Serviceaanvragen voor Microsoft 365 maken en beheren
Zie Rollen en machtigingen in Viva Goals en Inleiding tot Microsoft Viva Goals voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.viva.goals/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Goals beheren |
Viva Pulse-beheerder
Wijs de rol Viva Pulse Administrator toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle instellingen van Viva Pulse lezen en configureren
- Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen
- Azure Service Health lezen en configureren
- Azure-ondersteuningstickets maken en beheren
- Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
Zie Een Viva Pulse-beheerder toewijzen in de Microsoft 365-beheercentrum voor meer informatie.
Acties | Beschrijving |
---|---|
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle aspecten van Microsoft Viva Pulse beheren |
Windows 365-beheerder
Gebruikers met deze rol hebben algemene machtigingen voor Windows 365-resources, wanneer de service aanwezig is. Daarnaast bevat deze rol de mogelijkheid om gebruikers en apparaten te beheren om beleid te kunnen koppelen, en om groepen te maken en beheren.
Gebruikers met deze rol kunnen beveiligingsgroepen maken en beheren, maar hebben geen beheerdersrechten voor Microsoft 365-groepen. Dit betekent dat beheerders eigenaren of lidmaatschappen van Microsoft 365-groepen in de organisatie niet kunnen bijwerken. Ze kunnen echter wel de Microsoft 365-groep beheren die ze maken als onderdeel van hun eindgebruikersbevoegdheden. Dus elke Microsoft 365-groep (niet beveiligingsgroep) die ze maken, wordt meegeteld voor hun quotum van 250.
Wijs de rol 'Windows 365-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Windows 365 Cloud-pc s beheren in Microsoft Intune
- Apparaten inschrijven en beheren in Microsoft Entra-id, inclusief het toewijzen van gebruikers en beleid
- Beveiligingsgroepen maken en beheren, maar geen groepen waaraan rollen kunnen worden toegewezen
- Basiseigenschappen bekijken in het Microsoft 365-beheercentrum
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
- Ondersteuningstickets maken en beheren in Azure en de Microsoft 365-beheercentrum
Acties | Beschrijving |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Azure-ondersteuningstickets maken en beheren |
microsoft.cloudPC/allEntities/allProperties/allTasks | Alle aspecten van Windows 365 beheren |
microsoft.directory/deletedItems.devices/delete | Apparaten permanent verwijderen, die niet meer kunnen worden hersteld |
microsoft.directory/deletedItems.devices/restore | Voorlopig verwijderde apparaten herstellen naar de oorspronkelijke staat |
microsoft.directory/deviceManagementPolicies/standard/read | Standaardeigenschappen lezen over mobile device management en Mobile App Management-beleid |
microsoft.directory/deviceRegistrationPolicy/standard/read | Standaardeigenschappen voor beleidsregels voor apparaatregistratie lezen |
microsoft.directory/devices/basic/update | Basiseigenschappen voor apparaten bijwerken |
microsoft.directory/devices/create | Apparaten maken (inschrijven bij Microsoft Entra ID) |
microsoft.directory/devices/delete | Apparaten verwijderen uit Microsoft Entra-id |
microsoft.directory/devices/disable | Apparaten uitschakelen in Microsoft Entra-id |
microsoft.directory/devices/enable | Apparaten inschakelen in Microsoft Entra-id |
microsoft.directory/devices/extensionAttributeSet1/update | De eigenschappen extensionAttribute1 tot extensionAttribute5 voor apparaten bijwerken |
microsoft.directory/devices/extensionAttributeSet2/update | De eigenschappen extensionAttribute6 tot extensionAttribute10 voor apparaten bijwerken |
microsoft.directory/devices/extensionAttributeSet3/update | De eigenschappen extensionAttribute11 tot extensionAttribute15 voor apparaten bijwerken |
microsoft.directory/devices/registeredOwners/update | Geregistreerde eigenaren van apparaten bijwerken |
microsoft.directory/devices/registeredUsers/update | Geregistreerde gebruikers van apparaten bijwerken |
microsoft.directory/groups.security/basic/update | Basiseigenschappen voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/classification/update | De classificatie-eigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/create | Beveiligingsgroepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/delete | Beveiligingsgroepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/dynamicMembershipRule/update | De regel voor dynamisch lidmaatschap bijwerken voor beveiligingsgroepen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/members/update | Leden van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/owners/update | Eigenaren van beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.security/visibility/update | De zichtbaarheidseigenschap voor beveiligingsgroepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
Windows Update-implementatiebeheerder
Gebruikers met deze rol kunnen alle aspecten van Windows Update-implementaties maken en beheren via de Windows Update voor Bedrijven-implementatieservice. Met de implementatieservice kunnen gebruikers instellingen definiëren voor wanneer en hoe updates worden geïmplementeerd, en opgeven welke updates worden aangeboden aan groepen apparaten in hun tenant. Hiermee kunnen gebruikers ook de voortgang van updates bewaken.
Acties | Beschrijving |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Alle aspecten van Windows Update Service lezen en configureren |
Yammer-beheerder
Wijs de rol 'Yammer-beheerder' toe aan gebruikers die de volgende taken moeten uitvoeren:
- Alle aspecten van Yammer beheren
- Microsoft 365-groepen maken, beheren en herstellen, maar geen groepen waaraan rollen kunnen worden toegewezen
- De verborgen leden van beveiligingsgroepen en Microsoft 365-groepen bekijken, inclusief groepen waaraan rollen kunnen worden toegewezen
- Gebruiksrapporten lezen in het Microsoft 365-beheercentrum
- Serviceaanvragen maken en beheren in het Microsoft 365-beheercentrum
- Aankondigingen bekijken in het Berichtencentrum, maar geen beveiligingsaankondigingen
- Servicestatus weergeven
Acties | Beschrijving |
---|---|
microsoft.directory/groups/hiddenMembers/read | Verborgen leden van beveiligingsgroepen en Microsoft 365-groepen lezen, inclusief groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/basic/update | Basiseigenschappen voor Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/create | Microsoft 365-groepen maken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/delete | Microsoft 365-groepen verwijderen, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/members/update | Leden van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/owners/update | Eigenaren van Microsoft 365-groepen bijwerken, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.directory/groups.unified/restore | Microsoft 365-groepen terugzetten vanuit een voorlopig verwijderde container, met uitzondering van groepen waaraan rollen kunnen worden toegewezen |
microsoft.office365.messageCenter/messages/read | Berichten in Berichtencentrum in het Microsoft 365-beheercentrum lezen, met uitzondering van beveiligingsberichten |
microsoft.office365.network/performance/allProperties/read | Alle eigenschappen van netwerkprestaties in het Microsoft 365-beheercentrum lezen |
microsoft.office365.serviceHealth/allEntities/allTasks | Service Health in het Microsoft 365-beheercentrum lezen en configureren |
microsoft.office365.supportTickets/allEntities/allTasks | Serviceaanvragen voor Microsoft 365 maken en beheren |
microsoft.office365.usageReports/allEntities/allProperties/read | Office 365-gebruiksrapporten lezen |
microsoft.office365.webPortal/allEntities/standard/read | Basiseigenschappen voor alle resources in het Microsoft 365-beheercentrum lezen |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Alle aspecten van Yammer beheren |
Afgeschafte rollen
De volgende rollen mogen niet worden gebruikt. Ze zijn afgeschaft en worden in de toekomst verwijderd uit de Microsoft Entra-id.
- Ad-hoclicentiebeheerder
- Apparaatkoppeling
- Apparaatbeheerders
- Apparaatgebruikers
- Maker van via e-mail geverifieerde gebruikers
- Postvakbeheerder
- Werkplekapparaatkoppeling
Rollen die niet worden weergegeven in de portal
Niet elke rol die wordt geretourneerd door PowerShell of de Microsoft Graph-API is zichtbaar in de Azure-portal. In de volgende tabel worden deze verschillen weergegeven.
API-naam | Azure-portaalnaam | Opmerkingen |
---|---|---|
Apparaatkoppeling | Afgeschaft | Documentatie over afgeschafte rollen |
Apparaatbeheerders | Afgeschaft | Documentatie over afgeschafte rollen |
Apparaatgebruikers | Afgeschaft | Documentatie over afgeschafte rollen |
Adreslijstsynchronisatieaccounts | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over adreslijstsynchronisatieaccounts |
Gastgebruiker | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
Partnerondersteuning voor laag 1 | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over partnerondersteuning voor laag 1 |
Partnerondersteuning voor laag 2 | Niet weergegeven omdat deze niet mag worden gebruikt | Documentatie over partnerondersteuning voor laag 2 |
Beperkte gastgebruiker | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
User | Niet weergegeven omdat deze niet mag worden gebruikt | N.v.t. |
Werkplekapparaatkoppeling | Afgeschaft | Documentatie over afgeschafte rollen |