Wbudowane role usługi Microsoft Entra
Jeśli w usłudze Microsoft Entra ID inny administrator lub inny administrator musi zarządzać zasobami firmy Microsoft Entra, przypiszesz im rolę Entra firmy Microsoft, która zapewnia potrzebne im uprawnienia. Można na przykład przypisać role, aby zezwolić na dodawanie lub zmienianie użytkowników, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników lub zarządzanie nazwami domen.
W tym artykule wymieniono wbudowane role firmy Microsoft Entra, które można przypisać, aby umożliwić zarządzanie zasobami firmy Microsoft Entra. Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról usługi Microsoft Entra do użytkowników. Jeśli szukasz ról do zarządzania zasobami platformy Azure, zobacz Role wbudowane platformy Azure.
Wszystkie role
Rola | opis | Identyfikator szablonu |
---|---|---|
Administrator sztucznej inteligencji | Zarządzaj wszystkimi aspektami platformy Microsoft 365 Copilot i usługami przedsiębiorstwa powiązanymi ze sztuczną inteligencją w rozwiązaniu Microsoft 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Administrator aplikacji | Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa oraz zarządzać nimi. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Deweloper aplikacji | Może tworzyć rejestracje aplikacji niezależnie od ustawienia "Użytkownicy mogą rejestrować aplikacje". |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor ładunku ataku | Może tworzyć ładunki ataku, które administrator może zainicjować później. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Administrator symulacji ataku | Może tworzyć wszystkie aspekty kampanii symulacji ataków i zarządzać nimi. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Administrator przypisania atrybutu | Przypisz niestandardowe klucze i wartości atrybutów zabezpieczeń do obsługiwanych obiektów firmy Microsoft Entra. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Czytelnik przypisań atrybutów | Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Administrator definicji atrybutu | Definiowanie definicji niestandardowych atrybutów zabezpieczeń i zarządzanie nimi. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Czytelnik definicji atrybutów | Przeczytaj definicję niestandardowych atrybutów zabezpieczeń. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Administrator dziennika atrybutów | Przeczytaj dzienniki inspekcji i skonfiguruj ustawienia diagnostyczne zdarzeń związanych z niestandardowymi atrybutami zabezpieczeń. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Czytelnik dziennika atrybutów | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
administrator aprowizacji atrybutów | Dodaj lub usuń niestandardowe atrybuty zabezpieczeń w źródle do mapowania atrybutów docelowych. |
ebc2c6bf-0ab6-418e-bd87-7986f8d63bbe |
czytnika aprowizacji atrybutów | Odczyt niestandardowych atrybutów zabezpieczeń zdefiniowanych na obiektach użytkownika. | 422218e4-db15-4ef9-bbe0-8afb41546d79 |
Administrator uwierzytelniania | Może uzyskiwać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika niebędącego administratorem. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Administrator rozszerzalności uwierzytelniania | Dostosowywanie środowisk logowania i rejestracji dla użytkowników przez tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Administrator zasad uwierzytelniania | Umożliwia tworzenie zasad metod uwierzytelniania, ustawień uwierzytelniania wieloskładnikowego dla całej dzierżawy, zasad ochrony haseł i weryfikowalnych poświadczeń. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Azure DevOps Administrator | Może zarządzać zasadami i ustawieniami usługi Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Azure Information Protection Administrator | Może zarządzać wszystkimi aspektami produktu Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
Administrator zestawu kluczy IEF B2C | Może zarządzać wpisami tajnymi federacji i szyfrowania w programie Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Administrator zasad IEF B2C | Może tworzyć zasady struktury zaufania i zarządzać nimi w programie Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Administrator rozliczeń | Może wykonywać typowe zadania związane z rozliczeniami, takie jak aktualizowanie informacji o płatności. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Cloud App Security Administrator | Może zarządzać wszystkimi aspektami produktu Defender dla Chmury Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Administrator aplikacji w chmurze | Może tworzyć wszystkie aspekty rejestracji aplikacji i aplikacji przedsiębiorstwa (z wyjątkiem serwera proxy aplikacji) oraz zarządzać nimi. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Administrator urządzeń w chmurze | Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Administrator zgodności | Może odczytywać konfigurację zgodności i raporty oraz zarządzać nimi w usłudze Microsoft Entra ID i Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
Administrator danych zgodności | Tworzy zawartość zgodności i zarządza nią. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Administrator dostępu warunkowego | Może zarządzać funkcjami dostępu warunkowego. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Osoba zatwierdzająca dostęp do skrytki klienta | Może zatwierdzić żądania pomocy technicznej firmy Microsoft w celu uzyskania dostępu do danych organizacji klientów. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Desktop Analytics Administrator | Może uzyskiwać dostęp do narzędzi i usług do zarządzania komputerami, a także zarządzać nimi. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Czytelnicy katalogów | Może odczytywać podstawowe informacje o katalogu. Często używane do udzielania dostępu do odczytu katalogu do aplikacji i gości. | 88d8e3e3e3-8f55-4a1e-953a-9b9898b8876b |
Konta synchronizacji katalogów | Używane tylko przez usługę Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Autorzy katalogów | Może odczytywać i zapisywać podstawowe informacje o katalogu. W przypadku udzielania dostępu do aplikacji, które nie są przeznaczone dla użytkowników. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Administrator nazwy domeny | Może zarządzać nazwami domen w chmurze i lokalnie. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365 Administrator | Może zarządzać wszystkimi aspektami produktu Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central Administrator | Uzyskaj dostęp do wszystkich zadań administracyjnych w środowiskach usługi Dynamics 365 Business Central i wykonaj je. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Edge Administrator | Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Exchange Administrator | Może zarządzać wszystkimi aspektami produktu Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Administrator adresata programu Exchange | Może tworzyć lub aktualizować adresatów usługi Exchange Online w organizacji usługi Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Administrator przepływu użytkownika identyfikatora zewnętrznego | Może tworzyć wszystkie aspekty przepływów użytkowników i zarządzać nimi. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego | Może tworzyć schemat atrybutów dostępny dla wszystkich przepływów użytkowników i zarządzać nim. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Administrator zewnętrznego dostawcy tożsamości | Może skonfigurować dostawców tożsamości do użycia w federacji bezpośredniej. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Administrator sieci szkieletowej | Może zarządzać wszystkimi aspektami produktów Fabric i Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Globalny administrator usługi | Może zarządzać wszystkimi aspektami identyfikatora Entra firmy Microsoft i usługi firmy Microsoft, które używają tożsamości Firmy Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Czytelnik globalny | Może odczytać wszystko, co może administrator globalny, ale nie może nic zaktualizować. |
f2ef992c-3afb-46b9-b7cf-a126eee74c451 |
Globalny administrator bezpiecznego dostępu | Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi, w tym zarządzanie dostępem do publicznych i prywatnych punktów końcowych. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Administrator grup | Członkowie tej roli mogą tworzyć grupy i zarządzać nimi, tworzyć i zarządzać ustawieniami grup, takimi jak zasady nazewnictwa i wygasania oraz wyświetlać raporty dotyczące działań i inspekcji grup. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Osoba zapraszana gościa | Może zapraszać użytkowników-gości niezależnie od ustawienia „członkowie mogą zapraszać gości”. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Administrator pomocy technicznej | Może resetować hasła dla użytkowników niebędących administratorami i administratorów pomocy technicznej. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Administrator tożsamości hybrydowej | Zarządzanie usługą Active Directory w usłudze Microsoft Entra Cloud Provisioning, Microsoft Entra Connect, uwierzytelnianie przekazywane (PTA), synchronizacja skrótów haseł (PHS), bezproblemowe logowanie jednokrotne (bezproblemowe logowanie jednokrotne) i ustawienia federacji. Nie ma dostępu do zarządzania programem Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Administrator ładu tożsamości | Zarządzanie dostępem przy użyciu identyfikatora Entra firmy Microsoft na potrzeby scenariuszy zapewniania ładu tożsamości. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Administrator szczegółowych informacji | Ma dostęp administracyjny w aplikacji Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Analityk szczegółowych informacji | Uzyskaj dostęp do możliwości analitycznych w usłudze Microsoft Viva Insights i uruchom zapytania niestandardowe. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Lider biznesowy szczegółowych informacji | Może wyświetlać i udostępniać pulpity nawigacyjne i szczegółowe informacje za pośrednictwem aplikacji Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d2d |
Intune Administrator | Może zarządzać wszystkimi aspektami produktu Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala Administrator | Może zarządzać ustawieniami Aplikacja Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Administrator wiedzy | Może konfigurować wiedzę, uczenie się i inne inteligentne funkcje. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Menedżer wiedzy | Umożliwia organizowanie, tworzenie i promowanie tematów i wiedzy oraz zarządzanie nimi. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Administrator licencji | Może zarządzać licencjami produktów dla użytkowników i grup. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Administrator przepływów pracy cyklu życia | Utwórz wszystkie aspekty przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzaj nimi w identyfikatorze Entra firmy Microsoft. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Czytelnik prywatności Centrum wiadomości | Może odczytywać tylko komunikaty i aktualizacje zabezpieczeń w Centrum wiadomości usługi Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Czytelnik Centrum wiadomości | Może odczytywać komunikaty i aktualizacje dla swojej organizacji tylko w Centrum wiadomości usługi Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Administrator migracji platformy Microsoft 365 | Wykonaj wszystkie funkcje migracji, aby przeprowadzić migrację zawartości do platformy Microsoft 365 przy użyciu programu Migration Manager. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Microsoft Entra Joined Device Local Administrator | Użytkownicy przypisani do tej roli są dodawani do lokalnej grupy administratorów na urządzeniach dołączonych do firmy Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Administrator gwarancji sprzętowych firmy Microsoft | Tworzenie i zarządzanie wszystkimi roszczeniami dotyczącymi gwarancji i uprawnieniami do sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Specjalista od gwarancji sprzętowych firmy Microsoft | Tworzenie i odczytywanie oświadczeń dotyczących gwarancji dotyczących sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Administrator nowoczesnego handlu | Może zarządzać zakupami komercyjnymi dla firmy, działu lub zespołu. | d24aef57-1500-4070-84db-2666f29cf966 |
Administrator sieci | Może zarządzać lokalizacjami sieciowymi i przeglądać szczegółowe informacje dotyczące projektowania sieci przedsiębiorstwa dla aplikacji Microsoft 365 Software as a Service. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Administrator aplikacji pakietu Office | Może zarządzać usługami w chmurze aplikacja pakietu Office, w tym zarządzanie zasadami i ustawieniami oraz zarządzać możliwością wybierania, co nowego i publikowania zawartości funkcji na urządzeniach użytkowników końcowych. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Administrator znakowania organizacyjnego | Zarządzaj wszystkimi aspektami znakowania organizacyjnego w dzierżawie. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Osoba zatwierdzająca komunikaty organizacyjne | Przejrzyj, zatwierdź lub odrzuć nowe komunikaty organizacyjne do dostarczenia w Centrum administracyjne platformy Microsoft 365, zanim zostaną wysłane do użytkowników. | e48398e2-f4bb-4074-8f31-4586725e205b |
Składnik zapisywania komunikatów organizacyjnych | Pisanie, publikowanie i przeglądanie komunikatów organizacyjnych dla użytkowników końcowych za pośrednictwem powierzchni produktów firmy Microsoft oraz zarządzanie nimi. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Pomoc techniczna dla partnerów w warstwie 1 | Nie należy używać — nie jest przeznaczona do użytku ogólnego. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Pomoc techniczna dla partnerów w warstwie 2 | Nie należy używać — nie jest przeznaczona do użytku ogólnego. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Administrator haseł | Może resetować hasła dla administratorów innych niż administratorzy i administratorzy haseł. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Administrator zarządzania uprawnieniami | Zarządzaj wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Power Platform Administrator | Może tworzyć wszystkie aspekty usług Microsoft Dynamics 365, Power Apps i Power Automate oraz zarządzać nimi. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Administrator drukarki | Może zarządzać wszystkimi aspektami drukarek i łączników drukarek. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Technik drukarki | Umożliwia rejestrowanie i wyrejestrowywanie drukarek oraz aktualizowanie stanu drukarki. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Administrator uwierzytelniania uprzywilejowanego | Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Administrator ról uprzywilejowanych | Może zarządzać przypisaniami ról w usłudze Microsoft Entra ID i wszystkimi aspektami usługi Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Czytelnik raportów | Może odczytywać raporty logowania i inspekcji. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Administrator wyszukiwania | Może tworzyć wszystkie aspekty ustawień usługi Microsoft Search i zarządzać nimi. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Edytor wyszukiwania | Może tworzyć treści redakcyjne, takie jak zakładki, Q i As, lokalizacje, plan podłogowy i zarządzać nimi. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Administrator zabezpieczeń | Może odczytywać informacje o zabezpieczeniach i raporty oraz zarządzać konfiguracją w usłudze Microsoft Entra ID i Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Operator zabezpieczeń | Tworzy zdarzenia zabezpieczeń i zarządza nimi. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Czytelnik zabezpieczeń | Może odczytywać informacje o zabezpieczeniach i raporty w usłudze Microsoft Entra ID i Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Administrator pomocy technicznej usługi | Może odczytywać informacje o kondycji usługi i zarządzać biletami pomocy technicznej. | f023fd81-a637-4b56-95fd-791ac0226033 |
SharePoint Administrator | Może zarządzać wszystkimi aspektami usługi SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
SharePoint Embedded Administrator | Zarządzaj wszystkimi aspektami kontenerów sharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
administrator Skype dla firm | Może zarządzać wszystkimi aspektami produktu Skype dla firm. | 75941009-915a-4869-abe7-691bff18279e |
Teams Administrator | Może zarządzać usługą Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Administrator komunikacji usługi Teams | Może zarządzać funkcjami połączeń i spotkań w usłudze Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Inżynier pomocy technicznej aplikacji Teams Communications | Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu zaawansowanych narzędzi. | f70938a0-fc10-4177-9e90-2178f8765737 |
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams | Może rozwiązywać problemy z komunikacją w usłudze Teams przy użyciu podstawowych narzędzi. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Administrator urządzeń usługi Teams | Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Administrator telefonii usługi Teams | Zarządzanie funkcjami połączeń głosowych i telefonii oraz rozwiązywanie problemów z komunikacją w usłudze Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
Twórca dzierżawy | Utwórz nowe dzierżawy usługi Microsoft Entra lub Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Czytelnik raportów podsumowania użycia | Zapoznaj się z raportami użycia i wynikiem wdrożenia, ale nie można uzyskać dostępu do szczegółów użytkownika. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Menedżer sukcesu środowiska użytkownika | Wyświetl opinie o produkcie, wyniki ankiety i raporty, aby znaleźć możliwości szkolenia i komunikacji. | 27460883-1df1-4691-b032-3b79643e5e63 |
Administrator wizyt wirtualnych | Zarządzaj i udostępniaj informacje o wirtualnych odwiedzinach oraz metryki z centrów administracyjnych lub aplikacji Wirtualne wizyty. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals Administrator | Zarządzanie wszystkimi aspektami celów Microsoft Viva Goals i konfigurowanie ich. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse Administrator | Może zarządzać wszystkimi ustawieniami aplikacji Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365 Administrator | Może aprowizować wszystkie aspekty komputerów w chmurze i zarządzać nimi. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Administrator wdrażania usługi Windows Update | Może tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania windows Update dla firm. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Yammer Administrator | Zarządzanie wszystkimi aspektami usługi Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrator sztucznej inteligencji
Przypisz rolę administratorów sztucznej inteligencji do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami rozwiązania Microsoft 365 Copilot
- Zarządzanie usługami przedsiębiorstwa powiązanymi ze sztuczną inteligencją, rozszerzalnością i agentami copilot ze strony Zintegrowane aplikacje w Centrum administracyjne platformy Microsoft 365
- Zatwierdzanie i publikowanie agentów copilot biznesowych
- Zezwalaj użytkownikom na instalowanie aplikacji lub instalowanie aplikacji dla użytkowników w organizacji, jeśli aplikacja nie wymaga uprawnień
- Odczytywanie i konfigurowanie pulpitów nawigacyjnych kondycji usług platformy Azure i platformy Microsoft 365
- Wyświetlanie raportów użycia, szczegółowych informacji o wdrożeniu i szczegółowych informacji organizacyjnych
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Tworzenie wszystkich ustawień platformy Microsoft 365 Copilot i zarządzanie nimi |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.search/content/manage | Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator aplikacji
Jest to rola uprzywilejowana. Użytkownicy mający tę rolę mogą tworzyć wszystkie aspekty aplikacji dla przedsiębiorstw, rejestracje aplikacji oraz ustawienia serwera proxy aplikacji oraz nimi zarządzać. Należy pamiętać, że użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji ani aplikacji dla przedsiębiorstw.
Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Azure AD Graph i programu Microsoft Graph.
Ważne
Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład innych aplikacji firmy Microsoft, aplikacji innych firm lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale przyznanie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak administrator ról uprzywilejowanych.
Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli Administrator aplikacji daje im możliwość personifikacji tożsamości aplikacji.
Deweloper aplikacji
Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą tworzyć rejestracje aplikacji, gdy ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość Nie. Ta rola udziela również uprawnień do wyrażania zgody w imieniu użytkownika, gdy ustawienie "Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu", ma wartość Nie. Użytkownicy przypisani do tej roli są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji.
Autor ładunku ataku
Użytkownicy w tej roli mogą tworzyć ładunki ataków, ale nie uruchamiać ani planować ich. Ładunki ataku są następnie dostępne dla wszystkich administratorów w dzierżawie, którzy mogą ich używać do tworzenia symulacji.
Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń |
Administrator symulacji ataku
Użytkownicy w tej roli mogą tworzyć i zarządzać wszystkimi aspektami tworzenia symulacji ataku, uruchamiania/planowania symulacji oraz przeglądu wyników symulacji. Członkowie tej roli mają dostęp do wszystkich symulacji w dzierżawie.
Aby uzyskać więcej informacji, zobacz uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu usługi Microsoft 365 Defender i Uprawnienia w portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Tworzenie ładunków ataków i zarządzanie nimi w symulatorze ataku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Odczytywanie raportów dotyczących symulacji ataku, odpowiedzi i skojarzonych szkoleń |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Tworzenie szablonów symulacji ataku i zarządzanie nimi w symulatorze ataku |
Administrator przypisania atrybutu
Użytkownicy z tą rolą mogą przypisywać i usuwać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów firmy Microsoft Entra, takich jak użytkownicy, jednostki usługi i urządzenia.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
microsoft.directory/devices/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/devices/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/users/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
microsoft.directory/users/customSecurityAttributes/update | Aktualizowanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
Czytelnik przypisań atrybutów
Użytkownicy z tą rolą mogą odczytywać niestandardowe klucze i wartości atrybutów zabezpieczeń dla obsługiwanych obiektów Firmy Microsoft Entra.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla tożsamości zarządzanych przez firmę Microsoft |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
microsoft.directory/devices/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla urządzeń |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla jednostek usługi |
microsoft.directory/users/customSecurityAttributes/read | Odczytywanie niestandardowych wartości atrybutów zabezpieczeń dla użytkowników |
Administrator definicji atrybutu
Użytkownicy z tą rolą mogą zdefiniować prawidłowy zestaw niestandardowych atrybutów zabezpieczeń, które można przypisać do obsługiwanych obiektów Firmy Microsoft Entra. Ta rola może również aktywować i dezaktywować niestandardowe atrybuty zabezpieczeń.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Zarządzanie wszystkimi aspektami zestawów atrybutów |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń |
Czytelnik definicji atrybutów
Użytkownicy z tą rolą mogą odczytywać definicję niestandardowych atrybutów zabezpieczeń.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Odczytywanie wszystkich właściwości zestawów atrybutów |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
Administrator dziennika atrybutów
Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń
- Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń
Użytkownicy z tą rolą nie mogą odczytywać dzienników inspekcji dla innych zdarzeń.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Konfigurowanie wszystkich aspektów niestandardowych ustawień diagnostycznych atrybutów zabezpieczeń |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń |
Czytelnik dziennika atrybutów
Przypisz rolę Czytelnik dziennika atrybutów do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie dzienników inspekcji pod kątem zmian niestandardowych wartości atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji niestandardowych zmian i przypisań definicji atrybutów zabezpieczeń
Użytkownicy z tą rolą nie mogą wykonywać następujących zadań:
- Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń
- Odczytywanie dzienników inspekcji dla innych zdarzeń
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Odczytywanie dzienników inspekcji związanych z niestandardowymi atrybutami zabezpieczeń |
Administrator aprowizacji atrybutów
Użytkownicy przypisani do tej roli mogą wykonywać następujące operacje podczas konfigurowania przepływów aprowizacji/synchronizacji użytkowników w firmie Microsoft Entra:
- Odczytywanie i zapisywanie mapowań atrybutów dla atrybutów zabezpieczeń niestandardowych podczas aprowizacji w aplikacji
- Odczytywanie i zapisywanie dzienników aprowizacji i inspekcji dla niestandardowych atrybutów zabezpieczeń podczas aprowizacji w aplikacji
Ważne
Ta rola nie ma możliwości tworzenia niestandardowych zestawów atrybutów zabezpieczeń ani bezpośredniego przypisywania lub aktualizowania niestandardowych wartości atrybutów zabezpieczeń dla obiektu użytkownika. Ta rola może konfigurować tylko przepływ niestandardowych atrybutów zabezpieczeń w aplikacji aprowizacji. Aby uzyskać więcej informacji, zobacz Aprowizuj niestandardowe atrybuty zabezpieczeń ze źródeł HR (wersja zapoznawcza).
Czytelnik aprowizacji atrybutów
Użytkownicy przypisani do tej roli mogą wykonywać następujące operacje podczas pracy z przepływami aprowizacji/synchronizacji użytkowników w firmie Microsoft Entra:
- Odczytywanie mapowań atrybutów niestandardowych atrybutów zabezpieczeń podczas aprowizacji w aplikacji
- Odczytywanie dzienników aprowizacji i inspekcji niestandardowych atrybutów zabezpieczeń podczas aprowizacji w aplikacji
Aby uzyskać więcej informacji, zobacz Aprowizuj niestandardowe atrybuty zabezpieczeń ze źródeł HR (wersja zapoznawcza).
Akcje | opis |
---|---|
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Odczytywanie wszystkich właściwości niestandardowych definicji atrybutów zabezpieczeń |
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read | Odczytywanie wszystkich atrybutów zabezpieczeń niestandardowych w schemacie synchronizacji |
Administrator uwierzytelniania
Jest to rola uprzywilejowana. Przypisz rolę Administrator uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:
- Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla administratorów i niektórych ról. Aby uzyskać listę ról, które administrator uwierzytelniania może odczytywać lub aktualizować metody uwierzytelniania, zobacz Kto może resetować hasła.
- Wymagaj użytkowników, którzy nie są administratorami lub przypisani do niektórych ról, aby ponownie zarejestrować się w istniejących poświadczeniach innych niż hasło (na przykład uwierzytelnianie wieloskładnikowe lub fiDO), a także odwołać zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniu, co powoduje wyświetlenie monitu o uwierzytelnianie wieloskładnikowe podczas następnego logowania.
- Zarządzaj ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym.
- Wykonywanie akcji poufnych dla niektórych użytkowników. Aby uzyskać więcej informacji, zobacz Kto może wykonywać poufne akcje.
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
- Nie można zarządzać sprzętowymi tokenami OATH.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Tak | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie. | Nie. | Nie. | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administrator zasad uwierzytelniania | Nie. | Tak | Tak | Tak | Tak | Nie. | Nie. |
Administrator użytkowników | Nie. | Nie. | Nie. | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Ważne
Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane administratorom uwierzytelniania. Za pomocą tej ścieżki administrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość uprzywilejowanej aplikacji, aktualizując poświadczenia dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administratorzy innych usług spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Administrator rozszerzalności uwierzytelniania
Jest to rola uprzywilejowana. Przypisz rolę Administrator rozszerzalności uwierzytelniania do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie wszystkich aspektów niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można przypisać niestandardowych rozszerzeń uwierzytelniania do aplikacji w celu zmodyfikowania środowisk uwierzytelniania i nie może wyrazić zgody na uprawnienia aplikacji ani utworzyć rejestracji aplikacji skojarzonych z niestandardowym rozszerzeniem uwierzytelniania. Zamiast tego należy użyć ról Administrator aplikacji, Deweloper aplikacji lub Administrator aplikacji w chmurze.
Niestandardowe rozszerzenie uwierzytelniania to punkt końcowy interfejsu API utworzony przez dewelopera na potrzeby zdarzeń uwierzytelniania i jest zarejestrowany w identyfikatorze Entra firmy Microsoft. Administratorzy aplikacji i właściciele aplikacji mogą używać niestandardowych rozszerzeń uwierzytelniania do dostosowywania środowisk uwierzytelniania aplikacji, takich jak logowanie i rejestrowanie się lub resetowanie hasła.
Akcje | opis |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Tworzenie niestandardowych rozszerzeń uwierzytelniania i zarządzanie nimi |
Administrator zasad uwierzytelniania
Przypisz rolę Administrator zasad uwierzytelniania do użytkowników, którzy muszą wykonać następujące czynności:
- Skonfiguruj zasady metod uwierzytelniania, ustawienia uwierzytelniania wieloskładnikowego dla całej dzierżawy i zasady ochrony haseł, które określają metody, które każdy użytkownik może zarejestrować i używać.
- Zarządzanie ustawieniami ochrony haseł: inteligentne konfiguracje blokady i aktualizowanie niestandardowej listy zakazanych haseł.
- Zarządzaj ustawieniami uwierzytelniania wieloskładnikowego w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym.
- Tworzenie poświadczeń weryfikowalnych i zarządzanie nimi.
- Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zaktualizować właściwości poufnych. Aby uzyskać więcej informacji, zobacz Kto może wykonywać poufne akcje.
- Nie można usunąć ani przywrócić użytkowników. Aby uzyskać więcej informacji, zobacz Kto może wykonywać poufne akcje.
- Nie można zarządzać sprzętowymi tokenami OATH.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Tak | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie. | Nie. | Nie. | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administrator zasad uwierzytelniania | Nie. | Tak | Tak | Tak | Tak | Nie. | Nie. |
Administrator użytkowników | Nie. | Nie. | Nie. | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Akcje | opis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/organization/strongAuthentication/allTasks | Zarządzanie wszystkimi aspektami silnych właściwości uwierzytelniania organizacji |
microsoft.directory/userCredentialPolicies/basic/update | Aktualizowanie podstawowych zasad dla użytkowników |
microsoft.directory/userCredentialPolicies/create | Tworzenie zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/delete | Usuwanie zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/owner/read | Odczytywanie właścicieli zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/owner/update | Aktualizowanie właścicieli zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Przeczytaj policy.appliesDo linku nawigacji |
microsoft.directory/userCredentialPolicies/standard/read | Odczytywanie standardowych właściwości zasad poświadczeń dla użytkowników |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualizowanie właściwości policy.isOrganizationDefault |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Konfiguracja odczytu wymagana do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualizowanie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Odczytywanie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizowanie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Odczytywanie weryfikowalnej karty poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odwoływanie weryfikowalnej karty poświadczeń |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Tworzenie weryfikowalnego kontraktu poświadczeń |
microsoft.directory/verifiableCredentials/configuration/create | Tworzenie konfiguracji wymaganej do tworzenia poświadczeń weryfikowalnych i zarządzania nimi |
microsoft.directory/verifiableCredentials/configuration/delete | Usuń konfigurację wymaganą do utworzenia poświadczeń weryfikowalnych i zarządzania nimi oraz usuń wszystkie jego weryfikowalne poświadczenia |
Azure DevOps Administrator
Użytkownicy z tą rolą mogą zarządzać wszystkimi zasadami usługi Azure DevOps w przedsiębiorstwie, mającym zastosowanie do wszystkich organizacji usługi Azure DevOps wspieranych przez identyfikator Firmy Microsoft Entra. Użytkownicy w tej roli mogą zarządzać tymi zasadami, przechodząc do dowolnej organizacji usługi Azure DevOps, która jest wspierana przez identyfikator Firmy Microsoft Entra. Ponadto użytkownicy w tej roli mogą przejmować własność oddzielonych organizacji usługi Azure DevOps. Ta rola nie udziela żadnych innych uprawnień specyficznych dla usługi Azure DevOps (na przykład administratorów kolekcji projektów) w żadnej organizacji usługi Azure DevOps wspieranej przez organizację firmy Microsoft Entra.
Akcje | opis |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure DevOps |
Azure Information Protection Administrator
Użytkownicy z tą rolą mają wszystkie uprawnienia w usłudze Azure Information Protection. Ta rola umożliwia konfigurowanie etykiet dla zasad usługi Azure Information Protection, zarządzanie szablonami ochrony i aktywowanie ochrony. Ta rola nie udziela żadnych uprawnień w usłudze Ochrona tożsamości Microsoft Entra, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal lub portal zgodności Microsoft Purview.
Akcje | opis |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
administrator zestawu kluczy IEF B2C
Jest to rola uprzywilejowana. Użytkownik może tworzyć klucze zasad i wpisy tajne oraz zarządzać nimi na potrzeby szyfrowania tokenów, podpisów tokenów i szyfrowania/odszyfrowywania oświadczeń. Dodając nowe klucze do istniejących kontenerów kluczy, ten ograniczony administrator może przerzucać wpisy tajne w razie potrzeby bez wpływu na istniejące aplikacje. Ten użytkownik może zobaczyć pełną zawartość tych wpisów tajnych i daty wygaśnięcia nawet po ich utworzeniu.
Ważne
Jest to wrażliwa rola. Rola administratora zestawu kluczy powinna być starannie przeprowadź inspekcję i przypisana z ostrożnością podczas przedprodukcyjnego i produkcyjnego.
Akcje | opis |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Odczytywanie i konfigurowanie zestawów kluczy w usłudze Azure Active Directory B2C |
administrator zasad IEF B2C
Użytkownicy w tej roli mają możliwość tworzenia, odczytywania, aktualizowania i usuwania wszystkich zasad niestandardowych w usłudze Azure AD B2C i w związku z tym mają pełną kontrolę nad platformą Identity Experience Framework w odpowiedniej organizacji usługi Azure AD B2C. Edytując zasady, ten użytkownik może ustanowić bezpośrednią federację z zewnętrznymi dostawcami tożsamości, zmienić schemat katalogu, zmienić całą zawartość użytkownika (HTML, CSS, JavaScript), zmienić wymagania, aby ukończyć uwierzytelnianie, utworzyć nowych użytkowników, wysłać dane użytkowników do systemów zewnętrznych, w tym pełne migracje, i edytować wszystkie informacje o użytkowniku, w tym poufne pola, takie jak hasła i numery telefonów. Z drugiej strony ta rola nie może zmienić kluczy szyfrowania ani edytować wpisów tajnych używanych do federacji w organizacji.
Ważne
Administrator zasad IEF B2 jest bardzo wrażliwą rolą, która powinna być przypisana w bardzo ograniczonym stopniu dla organizacji w środowisku produkcyjnym. Działania tych użytkowników powinny być ściśle poddawane inspekcji, szczególnie w przypadku organizacji w środowisku produkcyjnym.
Akcje | opis |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Odczytywanie i konfigurowanie zasad niestandardowych w usłudze Azure Active Directory B2C |
Administrator rozliczeń
Dokonuje zakupów, zarządza subskrypcjami, zarządza biletami pomocy technicznej i monitoruje kondycję usługi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami rozliczeń usługi Office 365 |
microsoft.directory/organization/basic/update | Aktualizowanie podstawowych właściwości w organizacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Cloud App Security Administrator
Użytkownicy z tą rolą mają pełne uprawnienia w aplikacjach Defender dla Chmury. Mogą dodawać administratorów, dodawać zasady i ustawienia aplikacji Microsoft Defender dla Chmury, przekazywać dzienniki i wykonywać akcje nadzoru.
Akcje | opis |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator aplikacji w chmurze
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają te same uprawnienia co rola administratora aplikacji, z wyłączeniem możliwości zarządzania serwerem proxy aplikacji. Ta rola zapewnia możliwość tworzenia wszystkich aspektów aplikacji dla przedsiębiorstw i rejestracji aplikacji oraz zarządzania nimi. Użytkownicy przypisani do tej roli nie są dodawani jako właściciele podczas tworzenia nowych rejestracji aplikacji lub aplikacji dla przedsiębiorstw.
Ta rola umożliwia również wyrażanie zgody na delegowane uprawnienia i uprawnienia aplikacji, z wyjątkiem uprawnień aplikacji dla programu Azure AD Graph i programu Microsoft Graph.
Ważne
Ten wyjątek oznacza, że nadal możesz wyrazić zgodę na uprawnienia aplikacji dla innych aplikacji (na przykład innych aplikacji firmy Microsoft, aplikacji innych firm lub zarejestrowanych aplikacji). Nadal możesz zażądać tych uprawnień w ramach rejestracji aplikacji, ale przyznanie (czyli wyrażanie zgody) tych uprawnień wymaga bardziej uprzywilejowanego administratora, takiego jak administrator ról uprzywilejowanych.
Ta rola umożliwia zarządzanie poświadczeniami aplikacji. Użytkownicy przypisani do tej roli mogą dodawać poświadczenia do aplikacji i używać tych poświadczeń do personifikacji tożsamości aplikacji. Jeśli tożsamość aplikacji została udzielona dostępu do zasobu, takiego jak możliwość tworzenia lub aktualizowania użytkownika lub innych obiektów, użytkownik przypisany do tej roli może wykonać te akcje podczas personifikacji aplikacji. Możliwość personifikacji tożsamości aplikacji może być podniesieniem uprawnień do tego, co użytkownik może zrobić za pośrednictwem przypisań ról. Ważne jest, aby zrozumieć, że przypisanie użytkownika do roli Administrator aplikacji daje im możliwość personifikacji tożsamości aplikacji.
Administrator urządzeń w chmurze
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą włączać, wyłączać i usuwać urządzenia w identyfikatorze Entra firmy Microsoft oraz odczytywać klucze funkcji BitLocker systemu Windows 10 (jeśli są obecne) w witrynie Azure Portal. Rola nie udziela uprawnień do zarządzania innymi właściwościami na urządzeniu.
Administrator zgodności
Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi ze zgodnością w portalu portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365, Azure i Microsoft 365 Defender. Przypisze mogą również zarządzać wszystkimi funkcjami w centrum administracyjnym programu Exchange i tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal zgodności Microsoft Purview | Ochrona danych organizacji i zarządzanie nimi w usługach Platformy Microsoft 365 Zarządzanie alertami zgodności |
Menedżer zgodności usługi Microsoft Purview | Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji |
Portal usługi Microsoft 365 Defender | Zarządzanie ładem danych Przeprowadzanie badania prawnego i danych Zarządzanie żądaniem podmiotu danych Ta rola ma takie same uprawnienia jak grupa ról Administrator zgodności w usłudze Microsoft 365 Defender — kontrola dostępu oparta na rolach. |
Intune | Wyświetlanie wszystkich danych inspekcji usługi Intune |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia tylko do odczytu i może zarządzać alertami Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi |
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/entitlementManagement/allProperties/read | Odczytywanie wszystkich właściwości zarządzania upoważnieniami w usłudze Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator danych zgodności
Użytkownicy z tą rolą mają uprawnienia do śledzenia danych w portal zgodności Microsoft Purview, Centrum administracyjne platformy Microsoft 365 i na platformie Azure. Użytkownicy mogą również śledzić dane zgodności w centrum administracyjnym programu Exchange, Menedżerze zgodności i Aplikacji Teams i Skype dla firm centrum administracyjnym oraz tworzyć bilety pomocy technicznej dla platformy Azure i platformy Microsoft 365. Aby uzyskać więcej informacji na temat różnic między administratorem zgodności i administratorem danych zgodności, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal zgodności Microsoft Purview | Monitorowanie zasad związanych ze zgodnością w usługach Microsoft 365 Zarządzanie alertami zgodności |
Menedżer zgodności usługi Microsoft Purview | Śledzenie, przypisywanie i weryfikowanie działań dotyczących zgodności z przepisami organizacji |
Portal usługi Microsoft 365 Defender | Zarządzanie ładem danych Przeprowadzanie badania prawnego i danych Zarządzanie żądaniem podmiotu danych Ta rola ma takie same uprawnienia jak grupa ról Administrator danych zgodności w portalu usługi Microsoft 365 Defender— kontrola dostępu oparta na rolach. |
Intune | Wyświetlanie wszystkich danych inspekcji usługi Intune |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia tylko do odczytu i może zarządzać alertami Może tworzyć i modyfikować zasady plików oraz zezwalać na akcje ładu plików Może wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi |
Akcje | opis |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w usłudze Microsoft Defender dla Chmury Apps |
microsoft.office365.complianceManager/allEntities/allTasks | Zarządzanie wszystkimi aspektami menedżera zgodności usługi Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator dostępu warunkowego
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać ustawieniami dostępu warunkowego firmy Microsoft.
Osoba zatwierdzająca dostęp do skrytki klienta
Zarządza żądaniami skrytki klienta usługi Microsoft Purview w organizacji. Otrzymują powiadomienia e-mail dotyczące żądań skrytki klienta i mogą zatwierdzać i odrzucać żądania z Centrum administracyjne platformy Microsoft 365. Mogą również włączyć lub wyłączyć funkcję skrytki klienta. Tylko administratorzy globalni mogą resetować hasła osób przypisanych do tej roli.
Akcje | opis |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Zarządzanie wszystkimi aspektami skrytki klienta |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Desktop Analytics Administrator
Użytkownicy tej roli mogą zarządzać usługą Desktop Analytics. Obejmuje to możliwość wyświetlania spisu zasobów, tworzenia planów wdrażania oraz wyświetlania wdrożenia i stanu kondycji.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Desktop Analytics |
Czytelnicy katalogów
Użytkownicy tej roli mogą odczytywać podstawowe informacje o katalogu. Ta rola powinna być używana dla:
- Udzielanie określonego zestawu użytkowników-gości dostępu do odczytu zamiast udzielania go wszystkim użytkownikom-gościom.
- Udzielanie określonego zestawu użytkowników niebędących administratorami dostępu do centrum administracyjnego firmy Microsoft Entra, gdy ustawienie "Ogranicz dostęp do centrum administracyjnego firmy Microsoft Entra" ma wartość "Tak".
- Udzielanie jednostkom usługi dostępu do katalogu, w którym Directory.Read.All nie jest opcją.
Akcje | opis |
---|---|
microsoft.directory/administrativeUnits/members/read | Odczytywanie członków jednostek administracyjnych |
microsoft.directory/administrativeUnits/standard/read | Odczytywanie podstawowych właściwości jednostek administracyjnych |
microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
microsoft.directory/applications/owner/read | Odczytywanie właścicieli aplikacji |
microsoft.directory/applications/policies/read | Odczytywanie zasad aplikacji |
microsoft.directory/applications/standard/read | Odczytywanie standardowych właściwości aplikacji |
microsoft.directory/contacts/memberOf/read | Przeczytaj członkostwo w grupie dla wszystkich kontaktów w identyfikatorze Entra firmy Microsoft |
microsoft.directory/contacts/standard/read | Odczytywanie podstawowych właściwości kontaktów w usłudze Microsoft Entra ID |
microsoft.directory/contracts/standard/read | Odczytywanie podstawowych właściwości kontraktów partnerskich |
microsoft.directory/devices/memberOf/read | Odczytywanie członkostwa w urządzeniach |
microsoft.directory/devices/registeredOwners/read | Odczytywanie zarejestrowanych właścicieli urządzeń |
microsoft.directory/devices/registeredUsers/read | Odczytywanie zarejestrowanych użytkowników urządzeń |
microsoft.directory/devices/standard/read | Odczytywanie podstawowych właściwości na urządzeniach |
microsoft.directory/directoryRoles/eligibleMembers/read | Przeczytaj uprawnionych członków ról firmy Microsoft Entra |
microsoft.directory/directoryRoles/members/read | Odczytywanie wszystkich członków ról firmy Microsoft Entra |
microsoft.directory/directoryRoles/standard/read | Odczytywanie podstawowych właściwości ról usługi Microsoft Entra |
microsoft.directory/domains/standard/read | Odczytywanie podstawowych właściwości w domenach |
microsoft.directory/groups/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji grup |
microsoft.directory/groupSettings/standard/read | Odczytywanie podstawowych właściwości ustawień grupy |
microsoft.directory/groupSettingTemplates/standard/read | Odczytywanie podstawowych właściwości szablonów ustawień grupy |
microsoft.directory/groups/memberOf/read | Odczytywanie właściwości memberOf w grupach zabezpieczeń i grupach platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/members/read | Odczytywanie członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/owner/read | Odczytywanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/settings/read | Odczyt ustawień grup |
microsoft.directory/groups/standard/read | Odczytywanie standardowych właściwości grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/oAuth2PermissionGrants/standard/read | Odczytywanie podstawowych właściwości przy udzielanych uprawnieniach protokołu OAuth 2.0 |
microsoft.directory/organization/standard/read | Odczytywanie podstawowych właściwości w organizacji |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Odczytywanie zaufanych urzędów certyfikacji na potrzeby uwierzytelniania bez hasła |
microsoft.directory/roleAssignments/standard/read | Odczytywanie podstawowych właściwości przypisań ról |
microsoft.directory/roleDefinitions/standard/read | Odczytywanie podstawowych właściwości definicji ról |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Odczytywanie przypisań ról jednostki usługi |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Odczytywanie przypisań ról przypisanych do jednostek usługi |
microsoft.directory/servicePrincipals/memberOf/read | Odczytywanie członkostwa w grupach w jednostkach usługi |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla jednostek usługi |
microsoft.directory/servicePrincipals/ownedObjects/read | Odczytywanie obiektów należących do jednostek usługi |
microsoft.directory/servicePrincipals/owner/read | Odczytywanie właścicieli jednostek usługi |
microsoft.directory/servicePrincipals/policies/read | Odczytywanie zasad jednostek usługi |
microsoft.directory/servicePrincipals/standard/read | Odczytywanie podstawowych właściwości jednostek usługi |
microsoft.directory/subscribedSkus/standard/read | Odczytywanie podstawowych właściwości subskrypcji |
microsoft.directory/users/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji dla użytkowników |
microsoft.directory/users/deviceForResourceAccount/read | Odczyt deviceForResourceAccount użytkowników |
microsoft.directory/users/directReports/read | Odczytywanie bezpośrednich raportów dla użytkowników |
microsoft.directory/users/invitedBy/read | Przeczytaj użytkownika, który zaprosił użytkownika zewnętrznego do dzierżawy |
microsoft.directory/users/licenseDetails/read | Odczytywanie szczegółów licencji użytkowników |
microsoft.directory/users/manager/read | Menedżer odczytu użytkowników |
microsoft.directory/users/memberOf/read | Odczytywanie członkostwa w grupach użytkowników |
microsoft.directory/users/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla użytkowników |
microsoft.directory/users/ownedDevices/read | Odczytywanie urządzeń należących do użytkowników |
microsoft.directory/users/ownedObjects/read | Odczytywanie obiektów użytkowników będących własnością |
microsoft.directory/users/photo/read | Odczytywanie zdjęć użytkowników |
microsoft.directory/users/registeredDevices/read | Odczytywanie zarejestrowanych urządzeń użytkowników |
microsoft.directory/users/scopedRoleMemberOf/read | Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej |
microsoft.directory/users/sponsors/read | Odczytywanie sponsorów użytkowników |
microsoft.directory/users/standard/read | Odczytywanie podstawowych właściwości dla użytkowników |
Konta synchronizacji katalogów
Nie używaj. Ta rola jest automatycznie przypisywana do usługi Microsoft Entra Connect i nie jest przeznaczona ani obsługiwana dla żadnego innego użycia.
Akcje | opis |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Odczytywanie obiektów i zarządzanie nimi w celu włączenia synchronizacji katalogów lokalnych |
Autorzy katalogów
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą odczytywać i aktualizować podstawowe informacje o użytkownikach, grupach i jednostkach usługi.
Administrator nazwy domeny
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać nazwami domen (odczytywać, dodawać, weryfikować, aktualizować i usuwać). Mogą również odczytywać informacje o katalogu dotyczące użytkowników, grup i aplikacji, ponieważ te obiekty mają zależności domeny. W przypadku środowisk lokalnych użytkownicy z tą rolą mogą konfigurować nazwy domen dla federacji, aby skojarzeni użytkownicy zawsze uwierzytelniani lokalnie. Ci użytkownicy mogą następnie logować się do usług firmy Microsoft Entra przy użyciu haseł lokalnych za pośrednictwem logowania jednokrotnego. Ustawienia federacji muszą być synchronizowane za pośrednictwem programu Microsoft Entra Connect, więc użytkownicy mają również uprawnienia do zarządzania programem Microsoft Entra Connect.
Administrator usługi Dynamics 365
Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Dynamics 365 Online, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi do zarządzania dzierżawą.
Uwaga
W interfejsie API programu Microsoft Graph i programie Microsoft Graph PowerShell ta rola nosi nazwę Administrator usługi Dynamics 365. W witrynie Azure Portal nosi nazwę Administrator usługi Dynamics 365.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.dynamics365/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Dynamics 365 Business Central Administrator
Przypisz rolę administratora usługi Dynamics 365 Business Central do użytkowników, którzy muszą wykonywać następujące zadania:
- Uzyskiwanie dostępu do środowisk usługi Dynamics 365 Business Central
- Wykonywanie wszystkich zadań administracyjnych w środowiskach
- Zarządzanie cyklem życia środowisk klienta
- Nadzorowanie rozszerzeń zainstalowanych w środowiskach
- Kontrolowanie uaktualnień środowisk
- Wykonywanie eksportów danych w środowiskach
- Odczytywanie i konfigurowanie pulpitów nawigacyjnych kondycji usług platformy Azure i platformy Microsoft 365
Ta rola nie zapewnia żadnych uprawnień dla innych produktów usługi Dynamics 365.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/domains/standard/read | Odczytywanie podstawowych właściwości w domenach |
microsoft.directory/organization/standard/read | Odczytywanie podstawowych właściwości w organizacji |
microsoft.directory/subscribedSkus/standard/read | Odczytywanie podstawowych właściwości subskrypcji |
microsoft.directory/users/standard/read | Odczytywanie podstawowych właściwości dla użytkowników |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Edge Administrator
Użytkownicy w tej roli mogą tworzyć listę witryn przedsiębiorstwa wymaganą dla trybu programu Internet Explorer w przeglądarce Microsoft Edge i zarządzać nią. Ta rola udziela uprawnień do tworzenia, edytowania i publikowania listy witryn, a ponadto umożliwia dostęp do zarządzania biletami pomocy technicznej. Dowiedz się więcej
Akcje | opis |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami przeglądarki Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator programu Exchange
Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Exchange Online, gdy usługa jest obecna. Ponadto umożliwia tworzenie wszystkich grup platformy Microsoft 365 i zarządzanie nimi, zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
W interfejsie API programu Microsoft Graph i programie Microsoft Graph PowerShell ta rola nosi nazwę Administrator usługi Exchange. W witrynie Azure Portal nosi nazwę Administrator programu Exchange. W centrum administracyjnym programu Exchange jest on nazwany administratorem usługi Exchange Online.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Tworzenie zasad ochrony usługi Exchange Online i zarządzanie nimi w usłudze Microsoft 365 Backup |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Odczytywanie i konfigurowanie sesji przywracania dla usługi Exchange Online w usłudze Microsoft 365 Backup |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Zarządzanie wszystkimi punktami przywracania skojarzonymi z wybranymi skrzynkami pocztowymi usługi Exchange Online w usłudze M365 Backup |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Zarządzanie skrzynkami pocztowymi dodanymi do zasad ochrony usługi Exchange Online w usłudze Microsoft 365 Backup |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Zarządzanie skrzynkami pocztowymi dodanymi do sesji przywracania dla usługi Exchange Online w usłudze Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.exchange/allEntities/basic/allTasks | Zarządzanie wszystkimi aspektami usługi Exchange Online |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator adresata programu Exchange
Użytkownicy z tą rolą mają dostęp do odczytu do adresatów i dostęp do zapisu do atrybutów tych adresatów w usłudze Exchange Online. Aby uzyskać więcej informacji, zobacz Adresaci w programie Exchange Server.
Akcje | opis |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Zarządzanie wszystkimi zadaniami związanymi z migracją adresatów w usłudze Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Tworzenie i usuwanie wszystkich adresatów oraz odczytywanie i aktualizowanie wszystkich właściwości adresatów w usłudze Exchange Online |
Administrator przepływu użytkownika identyfikatora zewnętrznego
Użytkownicy z tą rolą mogą tworzyć przepływy użytkowników (nazywane również zasadami wbudowanymi) i zarządzać nimi w witrynie Azure Portal. Ci użytkownicy mogą dostosowywać zawartość HTML/CSS/JavaScript, zmieniać wymagania uwierzytelniania wieloskładnikowego, wybierać oświadczenia w tokenie, zarządzać łącznikami interfejsu API i ich poświadczeniami oraz konfigurować ustawienia sesji dla wszystkich przepływów użytkowników w organizacji firmy Microsoft Entra. Z drugiej strony ta rola nie obejmuje możliwości przeglądania danych użytkownika ani wprowadzania zmian w atrybutach uwzględnionych w schemacie organizacji. Zmiany zasad struktury obsługi tożsamości (nazywane również zasadami niestandardowymi) są również poza zakresem tej roli.
Akcje | opis |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Odczytywanie i konfigurowanie przepływu użytkownika w usłudze Azure Active Directory B2C |
Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego
Użytkownicy z tą rolą dodają lub usuń atrybuty niestandardowe dostępne dla wszystkich przepływów użytkowników w organizacji Microsoft Entra. W związku z tym użytkownicy z tą rolą mogą zmieniać lub dodawać nowe elementy do schematu użytkownika końcowego i wpływać na zachowanie wszystkich przepływów użytkowników i pośrednio spowodować zmiany danych, które mogą zostać poproszone o użytkowników końcowych i ostatecznie wysłane jako oświadczenia do aplikacji. Ta rola nie może edytować przepływów użytkownika.
Akcje | opis |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Odczytywanie i konfigurowanie atrybutu użytkownika w usłudze Azure Active Directory B2C |
Administrator zewnętrznego dostawcy tożsamości
Jest to rola uprzywilejowana. Ten administrator zarządza federacją między organizacjami firmy Microsoft Entra i zewnętrznymi dostawcami tożsamości. Dzięki tej roli użytkownicy mogą dodawać nowych dostawców tożsamości i konfigurować wszystkie dostępne ustawienia (np. ścieżka uwierzytelniania, identyfikator usługi, przypisane kontenery kluczy). Ten użytkownik może umożliwić organizacji firmy Microsoft Entra zaufanie uwierzytelniania od zewnętrznych dostawców tożsamości. Wynikowy wpływ na środowiska użytkownika końcowego zależy od typu organizacji:
- Organizacje firmy Microsoft Entra dla pracowników i partnerów: dodanie federacji (np. z usługą Gmail) natychmiast wpłynie na wszystkie zaproszenia gościa, które nie zostały jeszcze zrealizowane. Zobacz Dodawanie usługi Google jako dostawcy tożsamości dla użytkowników-gości B2B.
- Organizacje usługi Azure Active Directory B2C: dodanie federacji (na przykład z usługą Facebook lub inną organizacją firmy Microsoft Entra) nie ma natychmiastowego wpływu na przepływy użytkowników końcowych do momentu dodania dostawcy tożsamości jako opcji w przepływie użytkownika (nazywanej również wbudowanymi zasadami). Zobacz Konfigurowanie konta Microsoft jako dostawcy tożsamości, aby zapoznać się z przykładem. Aby zmienić przepływy użytkowników, wymagana jest ograniczona rola "Administrator przepływu użytkowników B2C".
Administrator sieci szkieletowej
Użytkownicy z tą rolą mają uprawnienia globalne w ramach usług Microsoft Fabric i Power BI, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Understanding Fabric admin roles (Opis ról administratora sieci szkieletowej).
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Zarządzanie wszystkimi aspektami sieci szkieletowej i usługi Power BI |
Globalny administrator usługi
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w usłudze Microsoft Entra ID, a także usług korzystających z tożsamości firmy Microsoft Entra, takich jak portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, Exchange Online, SharePoint Online i Skype dla firm Online. Administratorzy globalni mogą wyświetlać dzienniki aktywności katalogu. Ponadto administratorzy globalni mogą podnieść swój poziom dostępu , aby zarządzać wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Dzięki temu administratorzy globalni mogą uzyskać pełny dostęp do wszystkich zasobów platformy Azure przy użyciu odpowiedniej dzierżawy firmy Microsoft Entra. Osoba, która zarejestruje się w organizacji Microsoft Entra, staje się administratorem globalnym. W firmie może istnieć więcej niż jeden administrator globalny. Administratorzy globalni mogą zresetować hasło dla dowolnego użytkownika i wszystkich innych administratorów. Administrator globalny nie może usunąć własnego przypisania administratora globalnego. Zapobiega to sytuacji, w której organizacja ma zerowych administratorów globalnych.
Uwaga
Najlepszym rozwiązaniem jest, aby firma Microsoft zaleca przypisanie roli administratora globalnego do mniej niż pięciu osób w organizacji. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ról firmy Microsoft Entra.
Czytelnik globalny
Jest to rola uprzywilejowana. Użytkownicy w tej roli mogą odczytywać ustawienia i informacje administracyjne w usługach platformy Microsoft 365, ale nie mogą podejmować działań związanych z zarządzaniem. Czytelnik globalny jest odpowiednikiem tylko do odczytu administratora globalnego. Przypisz czytelnika globalnego zamiast administratora globalnego do planowania, inspekcji lub badań. Użyj czytelnika globalnego w połączeniu z innymi ograniczonymi rolami administratora, takimi jak Administrator programu Exchange, aby ułatwić pracę bez przypisywania roli administratora globalnego. Czytelnik globalny współpracuje z Centrum administracyjne platformy Microsoft 365, centrum administracyjnym programu Exchange, centrum administracyjnym programu SharePoint, centrum administracyjnym usługi Teams, portalem usługi Microsoft 365 Defender, portal zgodności Microsoft Purview, witryną Azure Portal i Zarządzanie urządzeniami centrum administracyjne.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można uzyskać dostępu do obszaru Zakup usług w Centrum administracyjne platformy Microsoft 365.
Uwaga
Rola Czytelnik globalny ma następujące ograniczenia:
- Centrum administracyjne usługi OneDrive — centrum administracyjne usługi OneDrive nie obsługuje roli Czytelnik globalny
- portalu usługi Microsoft 365 Defender — czytelnik globalny nie może przeszukiwać zawartości ani wyświetlać wskaźnika bezpieczeństwa.
- Centrum administracyjne usługi Teams — czytelnik globalny nie może odczytać cyklu życia usługi Teams, analiz i raportów, zarządzania urządzeniami z telefonami IP i wykazu aplikacji. Aby uzyskać więcej informacji, zobacz Używanie ról administratora usługi Microsoft Teams do zarządzania usługą Teams.
- Usługa Privileged Access Management nie obsługuje roli Czytelnik globalny.
- Azure Information Protection — czytelnik globalny jest obsługiwany tylko w przypadku centralnego raportowania , a twoja organizacja Firmy Microsoft Entra nie znajduje się na ujednoliconej platformie etykietowania.
- SharePoint — czytelnik globalny ma dostęp do odczytu do poleceń cmdlet programu PowerShell usługi SharePoint Online i interfejsów API odczytu.
- Centrum administracyjne platformy Power Platform — czytelnik globalny nie jest jeszcze obsługiwany w centrum administracyjnym platformy Power Platform.
- Usługa Microsoft Purview nie obsługuje roli Czytelnik globalny.
Globalny administrator bezpiecznego dostępu
Przypisz rolę administratora globalnego bezpiecznego dostępu do użytkowników, którzy muszą wykonać następujące czynności:
- Tworzenie wszystkich aspektów Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra oraz zarządzanie nimi
- Zarządzanie dostępem do publicznych i prywatnych punktów końcowych
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać aplikacjami dla przedsiębiorstw, rejestracjami aplikacji, dostępem warunkowym lub ustawieniami serwera proxy aplikacji
Akcje | opis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/applicationPolicies/standard/read | Odczytywanie standardowych właściwości zasad aplikacji |
microsoft.directory/applications/applicationProxy/read | Odczytywanie wszystkich właściwości serwera proxy aplikacji |
microsoft.directory/applications/owner/read | Odczytywanie właścicieli aplikacji |
microsoft.directory/applications/policies/read | Odczytywanie zasad aplikacji |
microsoft.directory/applications/standard/read | Odczytywanie standardowych właściwości aplikacji |
microsoft.directory/auditLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń |
microsoft.directory/conditionalAccessPolicies/standard/read | Odczyt dostępu warunkowego dla zasad |
microsoft.directory/connectorGroups/allProperties/read | Odczytywanie wszystkich właściwości grup łączników sieci prywatnej |
microsoft.directory/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników sieci prywatnej |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/standard/read | Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami |
microsoft.directory/namedLocations/standard/read | Odczytywanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe |
microsoft.directory/signInReports/allProperties/read | Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych |
microsoft.networkAccess/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami dostępu do sieci firmy Microsoft |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator grup
Użytkownicy w tej roli mogą tworzyć grupy i jej ustawienia, takie jak nazewnictwo i zasady wygasania, oraz zarządzać nimi. Ważne jest, aby zrozumieć, że przypisanie użytkownika do tej roli daje im możliwość zarządzania wszystkimi grupami w organizacji w różnych obciążeniach, takich jak Teams, SharePoint, Yammer oprócz programu Outlook. Ponadto użytkownik będzie mógł zarządzać różnymi ustawieniami grup w różnych portalach administracyjnych, takich jak Centrum administracyjne firmy Microsoft, Witryna Azure Portal, a także specyficzne dla obciążeń, takie jak teams i centra administracyjne programu SharePoint.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/deletedItems.groups/delete | Trwałe usuwanie grup, których nie można już przywrócić |
microsoft.directory/deletedItems.groups/restore | Przywracanie nietrwałych usuniętych grup do stanu pierwotnego |
microsoft.directory/groups/assignLicense | Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/classification/update | Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/create | Tworzenie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/delete | Usuwanie grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/dynamicMembershipRule/update | Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń i grupach platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/groupType/update | Aktualizowanie właściwości, które miałyby wpływ na typ grupy Grupy zabezpieczeń i grupy platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups/members/update | Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/onPremWriteBack/update | Aktualizowanie grup firmy Microsoft Entra do zapisywania zwrotnego do środowiska lokalnego za pomocą programu Microsoft Entra Connect |
microsoft.directory/groups/owner/update | Aktualizowanie właścicieli grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/restore | Przywracanie grup z kontenera usuniętego nietrwale |
microsoft.directory/groups/settings/update | Aktualizowanie ustawień grup |
microsoft.directory/groups/visibility/update | Aktualizowanie właściwości widoczności grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Osoba zapraszana gościa
Użytkownicy w tej roli mogą zarządzać zaproszeniami użytkownika-gościa firmy Microsoft Entra B2B, gdy ustawienie Członkowie mogą zapraszać użytkownika jest ustawione na Nie. Więcej informacji na temat współpracy B2B można znaleźć na stronie Informacje o współpracy firmy Microsoft Entra B2B. Nie zawiera żadnych innych uprawnień.
Akcje | opis |
---|---|
microsoft.directory/users/appRoleAssignments/read | Odczytywanie przypisań ról aplikacji dla użytkowników |
microsoft.directory/users/deviceForResourceAccount/read | Odczyt deviceForResourceAccount użytkowników |
microsoft.directory/users/directReports/read | Odczytywanie bezpośrednich raportów dla użytkowników |
microsoft.directory/users/invitedBy/read | Przeczytaj użytkownika, który zaprosił użytkownika zewnętrznego do dzierżawy |
microsoft.directory/users/inviteGuest | Zapraszanie użytkowników-gości |
microsoft.directory/users/licenseDetails/read | Odczytywanie szczegółów licencji użytkowników |
microsoft.directory/users/manager/read | Menedżer odczytu użytkowników |
microsoft.directory/users/memberOf/read | Odczytywanie członkostwa w grupach użytkowników |
microsoft.directory/users/oAuth2PermissionGrants/read | Uprawnienia delegowane do odczytu dla użytkowników |
microsoft.directory/users/ownedDevices/read | Odczytywanie urządzeń należących do użytkowników |
microsoft.directory/users/ownedObjects/read | Odczytywanie obiektów użytkowników będących własnością |
microsoft.directory/users/photo/read | Odczytywanie zdjęć użytkowników |
microsoft.directory/users/registeredDevices/read | Odczytywanie zarejestrowanych urządzeń użytkowników |
microsoft.directory/users/scopedRoleMemberOf/read | Przeczytaj członkostwo użytkownika w roli Microsoft Entra, która jest ograniczona do jednostki administracyjnej |
microsoft.directory/users/sponsors/read | Odczytywanie sponsorów użytkowników |
microsoft.directory/users/standard/read | Odczytywanie podstawowych właściwości dla użytkowników |
Administrator pomocy technicznej
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zmieniać hasła, unieważniać tokeny odświeżania, tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz monitorować kondycję usługi. Unieważnienie tokenu odświeżania wymusza ponowne zalogowanie się użytkownika. To, czy administrator pomocy technicznej może zresetować hasło użytkownika i unieważnić tokeny odświeżania, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, które administrator pomocy technicznej może zresetować i unieważnić tokeny odświeżania, zobacz Kto może resetować hasła.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
Ważne
Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane administratorom pomocy technicznej. W ramach tej ścieżki administrator pomocy technicznej może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo przyjąć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administratorzy innych usług spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Delegowanie uprawnień administracyjnych za pośrednictwem podzbiorów użytkowników i stosowanie zasad do podzbioru użytkowników jest możliwe w przypadku jednostek administracyjnych.
Ta rola została wcześniej nazwana Administrator haseł w witrynie Azure Portal. Zmieniono nazwę na Administrator pomocy technicznej, aby dopasować ją do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Microsoft Graph PowerShell.
Administrator tożsamości hybrydowej
Jest to rola uprzywilejowana. Użytkownicy tej roli mogą tworzyć i wdrażać konfigurację aprowizacji z usługi Active Directory do usługi Microsoft Entra ID przy użyciu usługi Cloud Provisioning, a także zarządzać programem Microsoft Entra Connect, uwierzytelnianiem przekazywanym (PTA), synchronizacją skrótów haseł (PHS), bezproblemowym logowaniem jednokrotnym (bezproblemowym logowaniem jednokrotnym) i ustawieniami federacji. Nie ma dostępu do zarządzania programem Microsoft Entra Connect Health. Użytkownicy mogą również rozwiązywać problemy z dziennikami i monitorować je przy użyciu tej roli.
Administrator ładu tożsamości
Użytkownicy z tą rolą mogą zarządzać konfiguracją Zarządzanie tożsamością Microsoft Entra, w tym pakietami dostępu, przeglądami dostępu, wykazami i zasadami, zapewniając, że dostęp jest zatwierdzony i przeglądany oraz użytkownicy-goście, którzy nie potrzebują już dostępu, są usuwane.
Akcje | opis |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Przestarzałe) Tworzenie i usuwanie przeglądów dostępu, odczytywanie i aktualizowanie wszystkich właściwości przeglądów dostępu oraz zarządzanie przeglądami dostępu grup w usłudze Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Zarządzanie przeglądami dostępu przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Zarządzanie przeglądami dostępu dla przypisań pakietów dostępu w zarządzaniu upoważnieniami |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Przeczytaj wszystkie właściwości przeglądów dostępu dotyczących członkostwa w grupach zabezpieczeń i platformy Microsoft 365, w tym grup z możliwością przypisywania ról. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Zaktualizuj wszystkie właściwości przeglądów dostępu dla członkostwa w grupach zabezpieczeń i platformy Microsoft 365, z wyłączeniem grup z możliwością przypisywania ról. |
microsoft.directory/accessReviews/definitions.groups/create | Tworzenie przeglądów dostępu do członkostwa w grupach zabezpieczeń i platformy Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Usuń przeglądy dostępu dotyczące członkostwa w grupach zabezpieczeń i platformy Microsoft 365. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Tworzenie i usuwanie zasobów oraz odczytywanie i aktualizowanie wszystkich właściwości w zarządzaniu upoważnieniami firmy Microsoft |
microsoft.directory/groups/members/update | Aktualizowanie członków grup zabezpieczeń i grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizowanie przypisań ról jednostki usługi |
Administrator szczegółowych informacji
Użytkownicy tej roli mogą uzyskiwać dostęp do pełnego zestawu funkcji administracyjnych w aplikacji Microsoft Viva Insights. Ta rola ma możliwość odczytywania informacji o katalogu, monitorowania kondycji usługi, biletów pomocy technicznej plików i uzyskiwania dostępu do aspektów ustawień administratora usługi Insights.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.insights/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami aplikacji Insights |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Analityk szczegółowych informacji
Przypisz rolę analityka szczegółowych informacji do użytkowników, którzy muszą wykonać następujące czynności:
- Analizowanie danych w aplikacji Microsoft Viva Insights, ale nie może zarządzać żadnymi ustawieniami konfiguracji
- Tworzenie i uruchamianie zapytań oraz zarządzanie nimi
- Wyświetlanie podstawowych ustawień i raportów w Centrum administracyjne platformy Microsoft 365
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.insights/queries/allProperties/allTasks | Uruchamianie zapytań i zarządzanie nimi w aplikacji Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Lider biznesowy szczegółowych informacji
Użytkownicy w tej roli mogą uzyskiwać dostęp do zestawu pulpitów nawigacyjnych i szczegółowych informacji za pośrednictwem aplikacji Microsoft Viva Insights. Obejmuje to pełny dostęp do wszystkich pulpitów nawigacyjnych oraz prezentowanych szczegółowych informacji i funkcji eksploracji danych. Użytkownicy w tej roli nie mają dostępu do ustawień konfiguracji produktu, co jest obowiązkiem administratora usługi Insights.
Akcje | opis |
---|---|
microsoft.insights/programs/allProperties/update | Wdrażanie programów i zarządzanie nimi w aplikacji Insights |
microsoft.insights/reports/allProperties/read | Wyświetlanie raportów i pulpitów nawigacyjnych w aplikacji Insights |
Administrator usługi Intune
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia globalne w usłudze Microsoft Intune Online, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi. Aby uzyskać więcej informacji, zobacz Kontrola administracji opartej na rolach (RBAC) w usłudze Microsoft Intune.
Ta rola może tworzyć wszystkie grupy zabezpieczeń i zarządzać nimi. Jednak administrator usługi Intune nie ma uprawnień administratora do grup platformy Microsoft 365. Oznacza to, że administrator nie może zaktualizować właścicieli ani członkostwa wszystkich grup platformy Microsoft 365 w organizacji. Może jednak zarządzać grupą platformy Microsoft 365 utworzoną przez niego, która jest częścią swoich uprawnień użytkownika końcowego. Dlatego każda grupa platformy Microsoft 365 (a nie grupa zabezpieczeń), którą tworzy, powinna być liowana względem limitu przydziału 250.
Uwaga
W interfejsie MICROSOFT Graph API i programie Microsoft Graph PowerShell ta rola nosi nazwę Administrator usługi Intune. W witrynie Azure Portal nosi nazwę Administrator usługi Intune.
Kaizala Administrator
Użytkownicy z tą rolą mają uprawnienia globalne do zarządzania ustawieniami w Aplikacja Microsoft Kaizala, gdy usługa jest obecna, a także możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Ponadto użytkownik może uzyskiwać dostęp do raportów związanych z wdrażaniem i użyciem usługi Kaizala przez członków organizacji i raportów biznesowych generowanych przy użyciu akcji Kaizala.
Akcje | opis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator wiedzy
Użytkownicy tej roli mają pełny dostęp do wszystkich ustawień wiedzy, uczenia się i inteligentnych funkcji w Centrum administracyjne platformy Microsoft 365. Mają ogólną wiedzę na temat pakietu produktów, szczegółów licencjonowania i mają odpowiedzialność za kontrolę dostępu. Administrator wiedzy może tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zasoby szkoleniowe. Ponadto ci użytkownicy mogą tworzyć centra zawartości, monitorować kondycję usługi i tworzyć żądania obsługi.
Akcje | opis |
---|---|
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/createAsOwner | Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel. |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Odczytywanie i aktualizowanie wszystkich właściwości zrozumienia zawartości w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Odczytywanie i aktualizowanie wszystkich właściwości sieci wiedzy w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Zarządzanie źródłami uczenia i wszystkimi ich właściwościami w aplikacji Szkoleniowej. |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Odczytywanie wszystkich właściwości etykiet poufności w centrach zabezpieczeń i zgodności |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Menedżer bazy wiedzy
Użytkownicy w tej roli mogą tworzyć zawartość i zarządzać nią, takimi jak tematy, akronimy i zawartość szkoleniowa. Ci użytkownicy są odpowiedzialni przede wszystkim za jakość i strukturę wiedzy. Ten użytkownik ma pełne uprawnienia do akcji zarządzania tematami w celu potwierdzenia tematu, zatwierdzenia edycji lub usunięcia tematu. Ta rola może również zarządzać taksonomiami w ramach narzędzia do zarządzania magazynami terminów i tworzyć centra zawartości.
Akcje | opis |
---|---|
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/createAsOwner | Utwórz grupy zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról. Twórca jest dodawany jako pierwszy właściciel. |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Odczytywanie raportów analitycznych o zrozumieniu zawartości w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Zarządzanie widocznością tematu sieci wiedzy w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator licencji
Użytkownicy tej roli mogą odczytywać, dodawać, usuwać i aktualizować przypisania licencji dla użytkowników, grup (przy użyciu licencjonowania opartego na grupach) i zarządzać lokalizacją użycia użytkowników. Rola nie udziela możliwości zakupu subskrypcji ani zarządzania nimi, tworzenia grup lub zarządzania nimi ani tworzenia użytkowników poza lokalizacją użycia ani zarządzania nimi. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/groups/assignLicense | Przypisywanie licencji produktów do grup na potrzeby licencjonowania opartego na grupach |
microsoft.directory/groups/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji na potrzeby licencjonowania opartego na grupach |
microsoft.directory/users/assignLicense | Zarządzanie licencjami użytkowników |
microsoft.directory/users/reprocessLicenseAssignment | Ponowne przetwarzanie przypisań licencji dla użytkowników |
microsoft.directory/users/usageLocation/update | Aktualizowanie lokalizacji użycia użytkowników |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator przepływów pracy cyklu życia
Jest to rola uprzywilejowana. Przypisz rolę Administrator przepływów pracy cyklu życia do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie wszystkich aspektów przepływów pracy i zadań skojarzonych z przepływami pracy cyklu życia i zarządzanie nimi w identyfikatorze Entra firmy Microsoft
- Sprawdzanie wykonywania zaplanowanych przepływów pracy
- Uruchamianie przebiegów przepływu pracy na żądanie
- Inspekcja dzienników wykonywania przepływu pracy
Czytelnik prywatności Centrum wiadomości
Użytkownicy tej roli mogą monitorować wszystkie powiadomienia w Centrum wiadomości, w tym komunikaty o ochronie prywatności danych. Czytelnicy prywatności w Centrum wiadomości otrzymują powiadomienia e-mail, w tym powiadomienia dotyczące prywatności danych i mogą anulować subskrypcję przy użyciu preferencji Centrum wiadomości. Tylko administrator globalny i czytelnik prywatności centrum wiadomości mogą odczytywać komunikaty o ochronie prywatności danych. Ponadto ta rola zawiera możliwość wyświetlania grup, domen i subskrypcji. Ta rola nie ma uprawnień do wyświetlania, tworzenia żądań obsługi ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.messageCenter/securityMessages/read | Odczytywanie komunikatów zabezpieczeń w Centrum komunikatów w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Czytelnik Centrum wiadomości
Użytkownicy tej roli mogą monitorować powiadomienia i porady dotyczące aktualizacji kondycji w Centrum wiadomości dla swojej organizacji na skonfigurowanych usługach, takich jak Exchange, Intune i Microsoft Teams. Czytelnicy Centrum wiadomości otrzymują cotygodniowe skróty wiadomości e-mail postów, aktualizacji i mogą udostępniać wpisy centrum wiadomości na platformie Microsoft 365. W usłudze Microsoft Entra ID użytkownicy przypisani do tej roli będą mieli dostęp tylko do odczytu w usługach Firmy Microsoft Entra, takich jak użytkownicy i grupy. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator migracji platformy Microsoft 365
Przypisz rolę administratora migracji platformy Microsoft 365 do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie migracją zawartości do platformy Microsoft 365 za pomocą programu Migration Manager w Centrum administracyjne platformy Microsoft 365, w tym aplikacji Teams, OneDrive dla Firm i witryn programu SharePoint, z usługi Google Drive, Dropbox, Box i Egnyte
- Wybieranie źródeł migracji, tworzenie spisów migracji (takich jak listy użytkowników dysku Google), planowanie i wykonywanie migracji oraz pobieranie raportów
- Utwórz nowe witryny programu SharePoint, jeśli witryny docelowe jeszcze nie istnieją, utwórz listy programu SharePoint w witrynach administracyjnych programu SharePoint i utwórz i zaktualizuj elementy na listach programu SharePoint
- Zarządzanie ustawieniami projektu migracji i cyklem życia migracji pod kątem zadań
- Zarządzanie mapowaniami uprawnień ze źródła do miejsca docelowego
Uwaga
Ta rola nie umożliwia migracji ze źródeł udziałów plików przy użyciu centrum administracyjnego programu SharePoint. Rolę administratora programu SharePoint można użyć do migracji ze źródeł udziałów plików.
Akcje | opis |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Microsoft Entra Joined Device Local Administrator
Ta rola jest dostępna tylko dla przypisania jako dodatkowy administrator lokalny w ustawieniach urządzenia. Użytkownicy z tą rolą stają się administratorami komputerów lokalnych na wszystkich urządzeniach z systemem Windows 10, które są przyłączone do identyfikatora Entra firmy Microsoft. Nie mają możliwości zarządzania obiektami urządzeń w identyfikatorze Entra firmy Microsoft.
Akcje | opis |
---|---|
microsoft.directory/groupSettings/standard/read | Odczytywanie podstawowych właściwości ustawień grupy |
microsoft.directory/groupSettingTemplates/standard/read | Odczytywanie podstawowych właściwości szablonów ustawień grupy |
Administrator gwarancji sprzętowych firmy Microsoft
Przypisz rolę Administratora gwarancji sprzętowych firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
- Wyszukiwanie i odczytywanie otwartych lub zamkniętych roszczeń dotyczących gwarancji
- Wyszukiwanie i odczytywanie oświadczeń gwarancji według numeru seryjnego
- Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych
- Przeczytaj stan wysyłki dla otwartych roszczeń dotyczących gwarancji
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
- Przeczytaj anonse centrum wiadomości w Centrum administracyjne platformy Microsoft 365
Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.
Akcje | opis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Tworzenie, odczytywanie, aktualizowanie i usuwanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym adresów wysyłkowych utworzonych przez inne osoby |
microsoft.hardware.support/shippingStatus/allProperties/read | Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Tworzenie wszystkich aspektów gwarancji sprzętowych firmy Microsoft i zarządzanie nimi |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Specjalista od gwarancji sprzętowych firmy Microsoft
Przypisz specjalistę ds. gwarancji sprzętowych firmy Microsoft do użytkowników, którzy muszą wykonywać następujące zadania:
- Tworzenie nowych oświadczeń dotyczących gwarancji dla sprzętu produkowanego przez firmę Microsoft, takiego jak Surface i HoloLens
- Odczytywanie oświadczeń gwarancji utworzonych przez nich
- Odczytywanie i aktualizowanie istniejących adresów wysyłkowych
- Przeczytaj stan wysyłki dla utworzonych przez nich oświadczeń dotyczących gwarancji otwarcia
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
Oświadczenie o gwarancji to żądanie naprawy lub wymiany sprzętu zgodnie z warunkami gwarancji. Aby uzyskać więcej informacji, zobacz Samoobsługowe żądania gwarancji i obsługi urządzeń Surface.
Akcje | opis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Odczytywanie adresów wysyłkowych dla oświadczeń gwarancji sprzętowych firmy Microsoft, w tym istniejących adresów wysyłkowych utworzonych przez inne osoby |
microsoft.hardware.support/warrantyClaims/createAsOwner | Tworzenie oświadczeń dotyczących gwarancji sprzętowych firmy Microsoft, w których twórca jest właścicielem |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Przeczytaj stan wysyłki dla otwartych oświadczeń gwarancji sprzętowych firmy Microsoft |
microsoft.hardware.support/warrantyClaims/allProperties/read | Przeczytaj oświadczenia dotyczące gwarancji sprzętowych firmy Microsoft |
Administrator nowoczesnego handlu
Nie używaj. Ta rola jest automatycznie przypisywana z obszaru Commerce i nie jest przeznaczona ani obsługiwana w przypadku żadnego innego użycia. Zobacz szczegóły poniżej.
Rola Administratora nowoczesnego handlu zapewnia określonym użytkownikom uprawnienia dostępu do Centrum administracyjne platformy Microsoft 365 i wyświetlanie wpisów nawigacji po lewej stronie dla strony głównej, rozliczeń i pomocy technicznej. Zawartość dostępna w tych obszarach jest kontrolowana przez role specyficzne dla handlu przypisane do użytkowników w celu zarządzania produktami zakupionymi dla siebie lub organizacji. Może to obejmować zadania, takie jak płacenie rachunków, lub dostęp do kont rozliczeniowych i profilów rozliczeniowych.
Użytkownicy z rolą Administratora nowoczesnego handlu zazwyczaj mają uprawnienia administracyjne w innych systemach zakupów firmy Microsoft, ale nie mają ról administratora globalnego ani administratora rozliczeń używanych do uzyskiwania dostępu do centrum administracyjnego.
Kiedy jest przypisana rola Administratora nowoczesnego handlu?
- Zakup samoobsługowy w Centrum administracyjne platformy Microsoft 365 — zakup samoobsługowy daje użytkownikom możliwość wypróbowania nowych produktów przez zakup lub zarejestrowanie się na własną rękę. Te produkty są zarządzane w centrum administracyjnym. Użytkownicy, którzy dokonają zakupu samoobsługowego, mają przypisaną rolę w systemie handlowym oraz rolę Administratora nowoczesnego handlu, aby mogli zarządzać swoimi zakupami w centrum administracyjnym. Administratorzy mogą blokować zakupy samoobsługowe (w przypadku usług Fabric, Power BI, Power Apps, Power Automate) za pośrednictwem programu PowerShell. Aby uzyskać więcej informacji, zobacz Samoobsługowy zakup — często zadawane pytania.
- Zakupy z komercyjnej platformy handlowej firmy Microsoft — podobnie jak w przypadku zakupu samoobsługowego, gdy użytkownik kupuje produkt lub usługę z witryny Microsoft AppSource lub Witryny Azure Marketplace, przypisana jest rola Administratora nowoczesnego handlu, jeśli nie ma roli administratora globalnego lub administratora rozliczeń. W niektórych przypadkach użytkownicy mogą mieć zablokowaną możliwość dokonywania tych zakupów. Aby uzyskać więcej informacji, zobacz Platforma handlowa firmy Microsoft.
- Propozycje firmy Microsoft — propozycja to formalna oferta firmy Microsoft dla Twojej organizacji, która umożliwia zakup produktów i usług firmy Microsoft. Gdy osoba akceptująca propozycję nie ma roli administratora globalnego lub administratora rozliczeń w identyfikatorze Entra firmy Microsoft, ma przypisaną zarówno rolę specyficzną dla handlu, aby ukończyć propozycję, jak i rolę Administratora nowoczesnego handlu w celu uzyskania dostępu do centrum administracyjnego. Gdy uzyskują dostęp do centrum administracyjnego, mogą używać tylko funkcji autoryzowanych przez ich rolę specyficzną dla handlu.
- Role specyficzne dla handlu — niektórzy użytkownicy mają przypisane role specyficzne dla handlu. Jeśli użytkownik nie jest administratorem globalnym lub administratorem rozliczeń, uzyska rolę Administratora nowoczesnego handlu, aby mógł uzyskać dostęp do centrum administracyjnego.
Jeśli rola Administratora nowoczesnego handlu nie jest przypisana od użytkownika, utraci dostęp do Centrum administracyjne platformy Microsoft 365. Jeśli zarządzali żadnymi produktami, zarówno dla siebie, jak i dla Twojej organizacji, nie będą mogli nimi zarządzać. Może to obejmować przypisywanie licencji, zmienianie form płatności, płacenie rachunków lub inne zadania do zarządzania subskrypcjami.
Akcje | opis |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Zarządzanie wszystkimi aspektami centrum usługi licencjonowania zbiorowego |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/basic/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator sieci
Użytkownicy w tej roli mogą przeglądać zalecenia dotyczące architektury obwodowej sieci firmy Microsoft, które są oparte na telemetrii sieciowej z lokalizacji użytkowników. Wydajność sieci dla platformy Microsoft 365 opiera się na starannej architekturze obwodowej sieci klienta przedsiębiorstwa, która jest zazwyczaj specyficzna dla lokalizacji użytkownika. Ta rola umożliwia edytowanie odnalezionych lokalizacji użytkownika i konfiguracji parametrów sieciowych dla tych lokalizacji w celu ułatwienia ulepszonych pomiarów telemetrii i zaleceń dotyczących projektowania
Akcje | opis |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Zarządzanie wszystkimi aspektami lokalizacji sieciowych |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator aplikacji pakietu Office
Użytkownicy w tej roli mogą zarządzać ustawieniami chmury aplikacji platformy Microsoft 365. Obejmuje to zarządzanie zasadami w chmurze, samoobsługowe zarządzanie pobieraniem oraz możliwość wyświetlania raportów związanych z aplikacja pakietu Office. Ta rola dodatkowo umożliwia zarządzanie biletami pomocy technicznej i monitorowanie kondycji usługi w głównym centrum administracyjnym. Użytkownicy przypisani do tej roli mogą również zarządzać komunikacją nowych funkcji w aplikacja pakietu Office.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.userCommunication/allEntities/allTasks | Odczytywanie i aktualizowanie nowych komunikatów |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator znakowania organizacyjnego
Przypisz rolę Administrator znakowania organizacyjnego do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami znakowania organizacyjnego w dzierżawie
- Odczytywanie, tworzenie, aktualizowanie i usuwanie motywów znakowania
- Zarządzanie domyślnym motywem znakowania i wszystkimi motywami lokalizacji znakowania
Akcje | opis |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Tworzenie i usuwanie identyfikatora loginTenantBranding oraz odczytywanie i aktualizowanie wszystkich właściwości |
Osoba zatwierdzająca komunikaty organizacyjne
Przypisz rolę Osoba zatwierdzająca komunikaty organizacyjne do użytkowników, którzy muszą wykonywać następujące zadania:
- Przejrzyj, zatwierdź lub odrzuć nowe komunikaty organizacyjne do dostarczenia w Centrum administracyjne platformy Microsoft 365 przed wysłaniem ich do użytkowników przy użyciu platformy wiadomości organizacyjnych platformy Microsoft 365
- Odczytywanie wszystkich aspektów komunikatów organizacyjnych
- Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Odczytywanie wszystkich aspektów wiadomości organizacyjnych platformy Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Zatwierdzanie lub odrzucanie nowych komunikatów organizacyjnych na potrzeby dostarczania w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Składnik zapisywania komunikatów organizacyjnych
Przypisz rolę Moduł zapisywania komunikatów organizacyjnych do użytkowników, którzy muszą wykonywać następujące zadania:
- Pisanie, publikowanie i usuwanie komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Zarządzanie opcjami dostarczania komunikatów organizacyjnych przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Odczytywanie wyników dostarczania komunikatów organizacji przy użyciu Centrum administracyjne platformy Microsoft 365 lub usługi Microsoft Intune
- Wyświetlanie raportów użycia i większości ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można wprowadzać zmian
Akcje | opis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami tworzenia wiadomości organizacyjnych platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Pomoc techniczna dla partnerów w warstwie 1
Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.
Ważne
Ta rola może resetować hasła i unieważniać tokeny odświeżania tylko dla innych niż administratorzy. Nie należy używać tej roli, ponieważ jest przestarzała.
Pomoc techniczna dla partnerów w warstwie 2
Jest to rola uprzywilejowana. Nie używaj. Ta rola została wycofana i zostanie usunięta z identyfikatora Entra firmy Microsoft w przyszłości. Ta rola jest przeznaczona do użytku przez niewielką liczbę partnerów odsprzedaży firmy Microsoft i nie jest przeznaczona do użytku ogólnego.
Ważne
Ta rola może resetować hasła i unieważniać tokeny odświeżania dla wszystkich administratorów i administratorów (w tym administratorów globalnych). Nie należy używać tej roli, ponieważ jest przestarzała.
Administrator haseł
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają ograniczoną możliwość zarządzania hasłami. Ta rola nie zapewnia możliwości zarządzania żądaniami obsługi ani monitorowania kondycji usługi. To, czy administrator haseł może zresetować hasło użytkownika, zależy od roli przypisanej przez użytkownika. Aby uzyskać listę ról, dla których administrator haseł może zresetować hasła, zobacz Kto może resetować hasła.
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
Administrator zarządzania uprawnieniami
Przypisz rolę Administrator zarządzania uprawnieniami do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra, gdy usługa jest obecna
Dowiedz się więcej o rolach i zasadach zarządzania uprawnieniami na stronie Wyświetlanie informacji o rolach/zasadach.
Akcje | opis |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami Zarządzanie uprawnieniami Microsoft Entra |
Power Platform Administrator
Użytkownicy w tej roli mogą tworzyć wszystkie aspekty środowisk, usługi Power Apps, przepływów, ochrony przed utratą danych i zarządzać nimi. Ponadto użytkownicy z tą rolą mogą zarządzać biletami pomocy technicznej i monitorować kondycję usługi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.dynamics365/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Dynamics 365 |
microsoft.flow/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.powerApps/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Power Apps |
Administrator drukarki
Użytkownicy tej roli mogą rejestrować drukarki i zarządzać wszystkimi aspektami wszystkich konfiguracji drukarek w rozwiązaniu Microsoft Universal Print, w tym ustawienia łącznika universal print. Mogą wyrazić zgodę na wszystkie delegowane żądania uprawnień drukowania. Administratorzy drukarek mają również dostęp do drukowania raportów.
Akcje | opis |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Tworzenie i usuwanie drukarek i łączników oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Print |
Technik drukarki
Użytkownicy z tą rolą mogą rejestrować drukarki i zarządzać stanem drukarki w rozwiązaniu Microsoft Universal Print. Mogą również odczytywać wszystkie informacje o łączniku. Nie można ustawić uprawnień użytkownika na drukarkach i udostępniania drukarek.
Akcje | opis |
---|---|
microsoft.azure.print/connectors/allProperties/read | Odczytywanie wszystkich właściwości łączników w usłudze Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Odczytywanie wszystkich właściwości drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/basic/update | Aktualizowanie podstawowych właściwości drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/register | Rejestrowanie drukarek w usłudze Microsoft Print |
microsoft.azure.print/printers/unregister | Wyrejestrowywanie drukarek w usłudze Microsoft Print |
Administrator uwierzytelniania uprzywilejowanego
Jest to rola uprzywilejowana. Przypisz rolę Administrator uwierzytelniania uprzywilejowanego do użytkowników, którzy muszą wykonać następujące czynności:
- Ustaw lub zresetuj dowolną metodę uwierzytelniania (w tym hasła) dla dowolnego użytkownika, w tym administratorów globalnych.
- Usuń lub przywróć wszystkich użytkowników, w tym administratorów globalnych. Aby uzyskać więcej informacji, zobacz Kto może wykonywać poufne akcje.
- Wymuś ponowne zarejestrowanie się użytkowników względem istniejących poświadczeń innych niż hasło (takich jak MFA lub FIDO2) i odwoływanie zapamiętać uwierzytelnianie wieloskładnikowe na urządzeniu, monitując o uwierzytelnianie wieloskładnikowe podczas następnego logowania wszystkich użytkowników.
- Aktualizowanie właściwości poufnych dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Kto może wykonywać poufne akcje.
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure oraz Centrum administracyjne platformy Microsoft 365.
- Konfigurowanie urzędów certyfikacji przy użyciu magazynu zaufania opartego na infrastrukturze kluczy publicznych (wersja zapoznawcza)
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać usługą MFA dla poszczególnych użytkowników w starszym portalu zarządzania uwierzytelnianiem wieloskładnikowym.
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
---|---|---|---|---|---|---|---|
Administrator uwierzytelniania | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników | Tak | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Administrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników | Nie. | Nie. | Nie. | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
Administrator zasad uwierzytelniania | Nie. | Tak | Tak | Tak | Tak | Nie. | Nie. |
Administrator użytkowników | Nie. | Nie. | Nie. | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Ważne
Użytkownicy z tą rolą mogą zmieniać poświadczenia dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana poświadczeń użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane administratorom uwierzytelniania. Za pomocą tej ścieżki administrator uwierzytelniania może przyjąć tożsamość właściciela aplikacji, a następnie dodatkowo założyć tożsamość uprzywilejowanej aplikacji, aktualizując poświadczenia dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administratorzy innych usług spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender i portal zgodności Microsoft Purview oraz systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Administrator ról uprzywilejowanych
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać przypisaniami ról w usłudze Microsoft Entra ID, a także w usłudze Microsoft Entra Privileged Identity Management. Mogą tworzyć grupy, które można przypisać do ról firmy Microsoft Entra i zarządzać nimi. Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi Privileged Identity Management i jednostek administracyjnych.
Ważne
Ta rola umożliwia zarządzanie przypisaniami dla wszystkich ról firmy Microsoft Entra, w tym roli administratora globalnego. Ta rola nie obejmuje żadnych innych uprzywilejowanych możliwości w identyfikatorze Entra firmy Microsoft, takich jak tworzenie lub aktualizowanie użytkowników. Jednak użytkownicy przypisani do tej roli mogą przyznać sobie lub innym dodatkowym uprawnieniem, przypisując dodatkowe role.
Czytelnik raportów
Użytkownicy z tą rolą mogą wyświetlać dane raportowania użycia i pulpit nawigacyjny raportów w Centrum administracyjne platformy Microsoft 365 oraz pakiet kontekstu wdrożenia w usłudze Fabric i Power BI. Ponadto rola zapewnia dostęp do wszystkich dzienników logowania, dzienników inspekcji i raportów aktywności w usłudze Microsoft Entra ID i danych zwracanych przez interfejs API raportowania programu Microsoft Graph. Użytkownik przypisany do roli Czytelnik raportów może uzyskiwać dostęp tylko do odpowiednich metryk użycia i wdrażania. Nie mają żadnych uprawnień administratora do konfigurowania ustawień ani uzyskiwania dostępu do centrów administracyjnych specyficznych dla produktu, takich jak Exchange. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/auditLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników inspekcji z wyłączeniem niestandardowych dzienników inspekcji atrybutów zabezpieczeń |
microsoft.directory/provisioningLogs/allProperties/read | Odczytywanie wszystkich właściwości dzienników aprowizacji |
microsoft.directory/signInReports/allProperties/read | Odczytywanie wszystkich właściwości w raportach logowania, w tym właściwości uprzywilejowanych |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator wyszukiwania
Użytkownicy tej roli mają pełny dostęp do wszystkich funkcji zarządzania usługą Microsoft Search w Centrum administracyjne platformy Microsoft 365. Ponadto ci użytkownicy mogą wyświetlać centrum komunikatów, monitorować kondycję usługi i tworzyć żądania obsługi.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.search/content/manage | Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Edytor wyszukiwania
Użytkownicy tej roli mogą tworzyć i usuwać zawartość usługi Microsoft Search oraz zarządzać nią w Centrum administracyjne platformy Microsoft 365, w tym zakładki, pytania i lokalizacje.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.search/content/manage | Tworzenie i usuwanie zawartości oraz odczytywanie i aktualizowanie wszystkich właściwości w usłudze Microsoft Search |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają uprawnienia do zarządzania funkcjami związanymi z zabezpieczeniami w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, uwierzytelnianiem firmy Microsoft Entra, usługą Azure Information Protection i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Monitorowanie zasad związanych z zabezpieczeniami w usługach Microsoft 365 Zarządzanie zagrożeniami bezpieczeństwa i alertami Wyświetlanie raportów |
Ochrona tożsamości Microsoft Entra | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wykonaj wszystkie operacje ochrony identyfikatorów z wyjątkiem resetowania haseł |
Privileged Identity Management | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Nie można zarządzać przypisaniami ról ani ustawieniami entra firmy Microsoft |
Portal zgodności Microsoft Purview | Zarządzanie zasadami zabezpieczeń Wyświetlanie, badanie i reagowanie na zagrożenia bezpieczeństwa Wyświetlanie raportów |
Azure Advanced Threat Protection | Monitorowanie podejrzanych działań zabezpieczeń i reagowanie na nie |
Ochrona punktu końcowego w usłudze Microsoft Defender | Przypisywanie ról Zarządzanie grupami maszyn Konfigurowanie wykrywania zagrożeń punktu końcowego i zautomatyzowanego korygowania Wyświetlanie, badanie i reagowanie na alerty Wyświetlanie spisu maszyn/urządzeń |
Intune | Mapuje na rolę menedżera zabezpieczeń punktu końcowego usługi Intune |
aplikacje Microsoft Defender dla Chmury | Dodawanie administratorów, dodawanie zasad i ustawień, przekazywanie dzienników i wykonywanie akcji ładu |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Inteligentna blokada | Zdefiniuj próg i czas trwania blokad po wystąpieniu zdarzeń logowania zakończonych niepowodzeniem. |
Ochrona haseł | Skonfiguruj niestandardową listę zakazanych haseł lub lokalną ochronę haseł. |
Synchronizacja między dzierżawami | Skonfiguruj ustawienia dostępu między dzierżawami dla użytkowników w innej dzierżawie. Administratorzy zabezpieczeń nie mogą bezpośrednio tworzyć i usuwać użytkowników, ale mogą pośrednio tworzyć i usuwać zsynchronizowanych użytkowników z innej dzierżawy, gdy obie dzierżawy są skonfigurowane do synchronizacji między dzierżawami, co jest uprawnieniem uprzywilejowanym. |
Operator zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu w funkcjach związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management i portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zagrożeń bezpieczeństwa Zarządzanie ustawieniami zabezpieczeń w portalu usługi Microsoft 365 Defender |
Ochrona tożsamości Microsoft Entra | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wykonaj wszystkie operacje ochrony identyfikatorów z wyjątkiem konfigurowania lub zmieniania zasad opartych na ryzyku, resetowania haseł i konfigurowania wiadomości e-mail z alertami. |
Privileged Identity Management | Wszystkie uprawnienia roli Czytelnik zabezpieczeń |
Portal zgodności Microsoft Purview | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń |
Ochrona punktu końcowego w usłudze Microsoft Defender | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli. |
Intune | Wszystkie uprawnienia roli Czytelnik zabezpieczeń |
aplikacje Microsoft Defender dla Chmury | Wszystkie uprawnienia roli Czytelnik zabezpieczeń Wyświetlanie, badanie i reagowanie na alerty zabezpieczeń |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Czytelnik zabezpieczeń
Jest to rola uprzywilejowana. Użytkownicy z tą rolą mają globalny dostęp tylko do odczytu dla funkcji związanych z zabezpieczeniami, w tym wszystkie informacje w portalu usługi Microsoft 365 Defender, Ochrona tożsamości Microsoft Entra, Privileged Identity Management, a także możliwość odczytywania raportów logowania i dzienników inspekcji firmy Microsoft Entra oraz w dziennikach inspekcji portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat uprawnień usługi Office 365, zobacz Role i grupy ról w Ochrona usługi Office 365 w usłudze Microsoft Defender i zgodności usługi Microsoft Purview.
W | Może to zrobić |
---|---|
Portal usługi Microsoft 365 Defender | Wyświetlanie zasad związanych z zabezpieczeniami w usługach Platformy Microsoft 365 Wyświetlanie zagrożeń i alertów zabezpieczeń Wyświetlanie raportów |
Ochrona tożsamości Microsoft Entra | Wyświetlanie wszystkich raportów ochrony identyfikatorów i przeglądów |
Privileged Identity Management | Ma dostęp tylko do odczytu do wszystkich informacji wyświetlanych w usłudze Microsoft Entra Privileged Identity Management: zasady i raporty dotyczące przypisań ról i przeglądów zabezpieczeń firmy Microsoft Entra. Nie można zarejestrować się w usłudze Microsoft Entra Privileged Identity Management ani wprowadzić w nim żadnych zmian. W portalu privileged Identity Management lub za pośrednictwem programu PowerShell ktoś z tej roli może aktywować dodatkowe role (na przykład Administrator ról uprzywilejowanych), jeśli użytkownik kwalifikuje się do nich. |
Portal zgodności Microsoft Purview | Wyświetlanie zasad zabezpieczeń Wyświetlanie i badanie zagrożeń bezpieczeństwa Wyświetlanie raportów |
Ochrona punktu końcowego w usłudze Microsoft Defender | Wyświetlanie i badanie alertów Po włączeniu kontroli dostępu opartej na rolach w Ochrona punktu końcowego w usłudze Microsoft Defender użytkownicy z uprawnieniami tylko do odczytu, takimi jak rola Czytelnik zabezpieczeń, utracą dostęp do momentu przypisania Ochrona punktu końcowego w usłudze Microsoft Defender roli. |
Intune | Wyświetla informacje o użytkownikach, urządzeniach, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w usłudze Intune. |
aplikacje Microsoft Defender dla Chmury | Ma uprawnienia do odczytu. |
Kondycja usługi platformy Microsoft 365 | Wyświetlanie kondycji usług Platformy Microsoft 365 |
Administrator pomocy technicznej usługi
Użytkownicy z tą rolą mogą tworzyć żądania pomocy technicznej i zarządzać nimi za pomocą usług Microsoft for Azure i Microsoft 365 oraz wyświetlać pulpit nawigacyjny usługi i centrum komunikatów w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
Ta rola została wcześniej nazwana Administrator usługi w witrynie Azure Portal i Centrum administracyjne platformy Microsoft 365. Zmieniono jej nazwę na Administrator pomocy technicznej usługi, aby dopasować ją do istniejącej nazwy w interfejsie API programu Microsoft Graph i programie Microsoft Graph PowerShell.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
SharePoint Administrator
Użytkownicy z tą rolą mają uprawnienia globalne w ramach Microsoft Office SharePoint Online, gdy usługa jest obecna, a także możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi. Aby uzyskać więcej informacji, zobacz Informacje o rolach administratora w centrum administracyjnym Microsoft 365.
Uwaga
W interfejsie API programu Microsoft Graph i programie Microsoft Graph PowerShell ta rola nosi nazwę Administrator usługi programu SharePoint. W witrynie Azure Portal nosi nazwę Administrator programu SharePoint.
Uwaga
Ta rola udziela również uprawnień o określonym zakresie do interfejsu API programu Microsoft Graph dla usługi Microsoft Intune, umożliwiając zarządzanie i konfigurację zasad związanych z zasobami programu SharePoint i usługi OneDrive.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Tworzenie zasad ochrony usługi OneDrive i zarządzanie nimi w usłudze Microsoft 365 Backup |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Odczytywanie i konfigurowanie sesji przywracania dla usługi OneDrive w usłudze Microsoft 365 Backup |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Zarządzanie wszystkimi punktami przywracania skojarzonymi z wybranymi witrynami programu SharePoint w usłudze M365 Backup |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Zarządzanie wszystkimi punktami przywracania skojarzonymi z wybranymi kontami usługi OneDrive w usłudze M365 Backup |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Tworzenie zasad ochrony programu SharePoint i zarządzanie nimi w usłudze Microsoft 365 Backup |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Odczytywanie i konfigurowanie sesji przywracania dla programu SharePoint w usłudze Microsoft 365 Backup |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Zarządzanie witrynami dodanymi do zasad ochrony programu SharePoint w usłudze Microsoft 365 Backup |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Zarządzanie witrynami dodanymi do sesji przywracania dla programu SharePoint w usłudze Microsoft 365 Backup |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Zarządzanie kontami dodanymi do zasad ochrony usługi OneDrive w usłudze Microsoft 365 Backup |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Zarządzanie kontami dodanymi do sesji przywracania dla usługi OneDrive w usłudze Microsoft 365 Backup |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami migracji platformy Microsoft 365 |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Tworzenie i usuwanie wszystkich zasobów oraz odczytywanie i aktualizowanie właściwości standardowych w programie SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
SharePoint Embedded Administrator
Przypisz rolę Administratora osadzonego programu SharePoint do użytkowników, którzy muszą wykonywać następujące zadania:
- Wykonywanie wszystkich zadań przy użyciu programu PowerShell, interfejsu API programu Microsoft Graph lub centrum administracyjnego programu SharePoint
- Zarządzanie, konfigurowanie i obsługa kontenerów programu SharePoint Embedded
- Wyliczanie kontenerów programu SharePoint Embedded i zarządzanie nimi
- Wyliczanie uprawnień kontenerów sharePoint Embedded i zarządzanie nimi
- Zarządzanie magazynem kontenerów sharePoint Embedded w dzierżawie
- Przypisywanie zasad zabezpieczeń i zgodności w kontenerach programu SharePoint Embedded
- Stosowanie zasad zabezpieczeń i zgodności w kontenerach usługi SharePoint Embedded w dzierżawie
Akcje | opis |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami kontenerów sharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
administrator Skype dla firm
Użytkownicy z tą rolą mają uprawnienia globalne w ramach usługi Microsoft Skype dla firm, gdy usługa jest obecna, a także zarządzają atrybutami użytkownika specyficznymi dla skype'a w identyfikatorze Entra firmy Microsoft. Ponadto ta rola zapewnia możliwość zarządzania biletami pomocy technicznej i monitorowania kondycji usługi oraz uzyskiwania dostępu do aplikacji Teams i Skype dla firm centrum administracyjnego. Konto musi być również licencjonowane dla usługi Teams lub nie może uruchamiać poleceń cmdlet programu PowerShell w usłudze Teams. Aby uzyskać więcej informacji, zobacz Skype dla firm Informacje o licencjonowaniu administratorów online i aplikacji Teams na stronie Skype dla firm licencjonowania dodatku.
Uwaga
W interfejsie MICROSOFT Graph API i programie Microsoft Graph PowerShell ta rola nosi nazwę Administrator usługi Lync. W witrynie Azure Portal nosi nazwę Skype dla firm Administrator.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Teams Administrator
Użytkownicy w tej roli mogą zarządzać wszystkimi aspektami obciążenia usługi Microsoft Teams za pośrednictwem centrum administracyjnego usługi Microsoft Teams i Skype dla firm oraz odpowiednich modułów programu PowerShell. Obejmuje to między innymi wszystkie narzędzia do zarządzania związane z telefonią, wiadomościami, spotkaniami i samymi zespołami. Ta rola dodatkowo zapewnia możliwość tworzenia wszystkich grup platformy Microsoft 365 i zarządzania nimi, zarządzania biletami pomocy technicznej i monitorowania kondycji usługi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizowanie ustawień spotkania aplikacji Teams między chmurami domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Odczytywanie podstawowych właściwości domyślnych zasad dostępu między dzierżawami |
microsoft.directory/crossTenantAccessPolicy/partners/create | Tworzenie zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizowanie ustawień spotkań między chmurami aplikacji Teams dotyczących zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Przeczytaj podstawowe właściwości zasad dostępu między dzierżawami dla partnerów |
microsoft.directory/crossTenantAccessPolicy/standard/read | Odczytywanie podstawowych właściwości zasad dostępu między dzierżawami |
microsoft.directory/externalUserProfiles/basic/update | Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/externalUserProfiles/delete | Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/externalUserProfiles/standard/read | Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualizowanie podstawowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/create | Tworzenie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Usuwanie profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Odczytywanie standardowych właściwości profilów użytkowników zewnętrznych w katalogu rozszerzonym dla usługi Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Odczytywanie standardowych właściwości zasad udzielania uprawnień |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/allEntities/allProperties/allTasks | Zarządzanie wszystkimi zasobami w usłudze Teams |
Administrator komunikacji usługi Teams
Użytkownicy w tej roli mogą zarządzać aspektami obciążenia usługi Microsoft Teams powiązanymi z telefonią głosową i telefonią. Obejmuje to narzędzia do zarządzania na potrzeby przypisywania numerów telefonów, zasad głosowych i spotkań oraz pełnego dostępu do zestawu narzędzi analizy połączeń.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Zarządzanie spotkaniami, w tym zasadami spotkań, konfiguracjami i mostkami konferencji |
microsoft.teams/voice/allProperties/allTasks | Zarządzanie głosem, w tym zasadami połączeń i spisem numerów telefonów i przypisaniem |
Inżynier pomocy technicznej aplikacji Teams Communications
Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać pełne informacje o rekordzie połączeń dla wszystkich zaangażowanych uczestników. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams
Użytkownicy tej roli mogą rozwiązywać problemy z komunikacją w aplikacji Microsoft Teams i Skype dla firm przy użyciu narzędzi do rozwiązywania problemów z wywołaniem użytkownika w centrum administracyjnym usługi Microsoft Teams i Skype dla firm. Użytkownicy w tej roli mogą wyświetlać tylko szczegóły użytkownika w wywołaniu dla określonego użytkownika, którego szukali. Ta rola nie ma dostępu do wyświetlania, tworzenia biletów pomocy technicznej ani zarządzania nimi.
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/standard/read | Odczytywanie podstawowych danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
Administrator urządzeń usługi Teams
Użytkownicy z tą rolą mogą zarządzać urządzeniami certyfikowanymi przez usługę Teams z poziomu centrum administracyjnego usługi Teams. Ta rola umożliwia wyświetlanie wszystkich urządzeń na pierwszy rzut oka z możliwością wyszukiwania i filtrowania urządzeń. Użytkownik może sprawdzić szczegóły każdego urządzenia, w tym zalogowanego konta, tworzenia i modelowania urządzenia. Użytkownik może zmienić ustawienia na urządzeniu i zaktualizować wersje oprogramowania. Ta rola nie udziela uprawnień do sprawdzania aktywności usługi Teams i jakości wywołań urządzenia.
Akcje | opis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/devices/standard/read | Zarządzanie wszystkimi aspektami urządzeń certyfikowanych przez usługę Teams, w tym zasadami konfiguracji |
Administrator telefonii usługi Teams
Przypisz rolę Administrator telefonii usługi Teams do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie telefonią i głosem, w tym zasadami połączeń, zarządzanie numerami telefonów i przypisywanie oraz aplikacje głosowe
- Dostęp tylko do raportów użycia publicznej sieci telefonicznej (PSTN) z centrum administracyjnego usługi Teams
- Wyświetlanie strony profilu użytkownika
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.directory/authorizationPolicy/standard/read | Odczytywanie standardowych właściwości zasad autoryzacji |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Zarządzanie wszystkimi aspektami usługi Skype dla firm Online |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Odczytywanie wszystkich danych na pulpicie nawigacyjnym jakości wywołań (CQD) |
microsoft.teams/voice/allProperties/allTasks | Zarządzanie głosem, w tym zasadami połączeń i spisem numerów telefonów i przypisaniem |
Twórca dzierżawy
Przypisz rolę Twórca dzierżawy do użytkowników, którzy muszą wykonywać następujące zadania:
- Utwórz dzierżawy usługi Microsoft Entra i Azure Active Directory B2C, nawet jeśli przełącznik tworzenia dzierżawy jest wyłączony w ustawieniach użytkownika
Uwaga
Twórcy dzierżawy zostaną przypisani do roli administratora globalnego w nowo utworzonych dzierżawach.
Akcje | opis |
---|---|
microsoft.directory/tenantManagement/tenants/create | Tworzenie nowych dzierżaw w usłudze Microsoft Entra ID |
Czytelnik raportów podsumowania użycia
Przypisz rolę Czytelnik raportów podsumowania użycia do użytkowników, którzy muszą wykonywać następujące zadania w Centrum administracyjne platformy Microsoft 365:
- Wyświetlanie raportów użycia i oceny wdrożenia
- Odczytywanie szczegółowych informacji organizacji, ale nie dane osobowe użytkowników
Ta rola umożliwia tylko użytkownikom wyświetlanie danych na poziomie organizacji z następującymi wyjątkami:
- Użytkownicy będący członkami mogą wyświetlać dane i ustawienia zarządzania użytkownikami.
- Użytkownicy-goście przypisani do tej roli nie mogą wyświetlać danych i ustawień zarządzania użytkownikami.
Akcje | opis |
---|---|
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator użytkowników
Jest to rola uprzywilejowana. Przypisz rolę Administrator użytkowników do użytkowników, którzy muszą wykonać następujące czynności:
Uprawnienie | Więcej informacji |
---|---|
Tworzenie użytkowników | |
Aktualizowanie większości właściwości użytkownika dla wszystkich użytkowników, w tym wszystkich administratorów | Kto może wykonywać poufne akcje |
Aktualizowanie poufnych właściwości (w tym głównej nazwy użytkownika) dla niektórych użytkowników | Kto może wykonywać poufne akcje |
Wyłączanie lub włączanie niektórych użytkowników | Kto może wykonywać poufne akcje |
Usuwanie lub przywracanie niektórych użytkowników | Kto może wykonywać poufne akcje |
Tworzenie widoków użytkowników i zarządzanie nimi | |
Tworzenie wszystkich grup i zarządzanie nimi | |
Przypisywanie i odczytywanie licencji dla wszystkich użytkowników, w tym wszystkich administratorów | |
Resetowanie haseł | Kto może resetować hasła |
Unieważnianie tokenów odświeżania | Kto może resetować hasła |
Aktualizowanie kluczy urządzeń (FIDO) | |
Aktualizowanie zasad wygasania haseł | |
Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365 | |
Monitorowanie kondycji usługi |
Użytkownicy z tą rolą nie mogą wykonywać następujących czynności:
- Nie można zarządzać usługą MFA.
- Nie można zmienić poświadczeń ani zresetować uwierzytelniania wieloskładnikowego dla członków i właścicieli grupy z możliwością przypisywania ról.
- Nie można zarządzać udostępnionymi skrzynkami pocztowymi.
- Nie można zmodyfikować pytań zabezpieczających dotyczących operacji resetowania hasła.
Ważne
Użytkownicy z tą rolą mogą zmieniać hasła dla osób, które mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej wewnątrz i poza identyfikatorem Entra firmy Microsoft. Zmiana hasła użytkownika może oznaczać możliwość przyjęcia tożsamości i uprawnień użytkownika. Na przykład:
- Rejestracja aplikacji i właściciele aplikacji dla przedsiębiorstw, którzy mogą zarządzać poświadczeniami własnych aplikacji. Te aplikacje mogą mieć uprawnienia uprzywilejowane w identyfikatorze Entra firmy Microsoft i gdzie indziej, które nie zostały przyznane administratorom użytkowników. Za pomocą tej ścieżki administrator użytkowników może mieć możliwość przyjęcia tożsamości właściciela aplikacji, a następnie dodatkowo założyć tożsamość aplikacji uprzywilejowanej przez zaktualizowanie poświadczeń dla aplikacji.
- Właściciele subskrypcji platformy Azure, którzy mogą mieć dostęp do poufnych lub prywatnych informacji lub konfiguracji krytycznej na platformie Azure.
- Grupy zabezpieczeń i właściciele grup platformy Microsoft 365, którzy mogą zarządzać członkostwem w grupach. Grupy te mogą udzielić dostępu do poufnych lub prywatnych informacji lub konfiguracji krytycznej w identyfikatorze Entra firmy Microsoft i w innym miejscu.
- Administratorzy innych usług spoza usługi Microsoft Entra ID, takich jak Exchange Online, Portal usługi Microsoft 365 Defender, portal zgodności Microsoft Purview i systemy zasobów ludzkich.
- Osoby niebędące administratorami, takie jak kierownictwo, radca prawny i pracownicy kadr, którzy mogą mieć dostęp do poufnych lub prywatnych informacji.
Menedżer sukcesu środowiska użytkownika
Przypisz rolę Menedżer sukcesu środowiska użytkownika do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie raportów użycia na poziomie organizacji dla Aplikacje Microsoft 365 i usług, ale nie szczegółów użytkownika
- Wyświetlanie opinii o produkcie organizacji, wyników ankiety Net Promotor Score (NPS) oraz wyświetlanie widoków artykułów w celu zidentyfikowania możliwości komunikacji i szkoleń
- Odczytywanie wpisów centrum komunikatów i danych kondycji usługi
Akcje | opis |
---|---|
microsoft.commerce.billing/purchases/standard/read | Przeczytaj artykuł Purchase Services in M365 Admin Center (Usługi zakupu w Centrum administracyjnym usługi M365). |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Odczytywanie wszystkich aspektów wiadomości organizacyjnych platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Odczytywanie zagregowanych raportów użycia usługi Office 365 na poziomie dzierżawy |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator wizyt wirtualnych
Użytkownicy z tą rolą mogą wykonywać następujące zadania:
- Zarządzanie i konfigurowanie wszystkich aspektów wizyt wirtualnych w rezerwacjach w Centrum administracyjne platformy Microsoft 365 i w łączniku EHR usługi Teams
- Wyświetlanie raportów użycia wizyt wirtualnych w centrum administracyjnym usługi Teams, Centrum administracyjne platformy Microsoft 365, sieci szkieletowej i usługi Power BI
- Wyświetlanie funkcji i ustawień w Centrum administracyjne platformy Microsoft 365, ale nie można edytować żadnych ustawień
Wirtualne wizyty to prosty sposób planowania spotkań online i wideo dla pracowników i uczestników oraz zarządzania nimi. Na przykład raportowanie użycia może pokazać, jak wysyłanie wiadomości SMS sms przed terminami może zmniejszyć liczbę osób, które nie są wyświetlane w przypadku terminów.
Akcje | opis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Zarządzanie informacjami i metrykami wizyt wirtualnych z centrów administracyjnych lub aplikacji Wirtualne wizyty |
Viva Goals Administrator
Przypisz rolę administratora Viva Goals do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie i konfigurowanie wszystkich aspektów aplikacji Microsoft Viva Goals
- Konfigurowanie ustawień administratora aplikacji Microsoft Viva Goals
- Przeczytaj informacje o dzierżawie firmy Microsoft Entra
- Monitorowanie kondycji usługi platformy Microsoft 365
- Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w aplikacji Viva Goals i Introduction to Microsoft Viva Goals (Role i uprawnienia w usłudze Viva Goals) i Introduction to Microsoft Viva Goals (Wprowadzenie do celów Platformy Microsoft Viva).
Akcje | opis |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami celów Platformy Microsoft Viva |
Viva Pulse Administrator
Przypisz rolę Administratora Aplikacji Viva Pulse do użytkowników, którzy muszą wykonywać następujące zadania:
- Odczytywanie i konfigurowanie wszystkich ustawień aplikacji Viva Pulse
- Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365
- Odczytywanie i konfigurowanie usługi Azure Service Health
- Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi
- Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
Aby uzyskać więcej informacji, zobacz Przypisywanie administratora Viva Pulse w Centrum administracyjne platformy Microsoft 365.
Akcje | opis |
---|---|
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami platformy Microsoft Viva Pulse |
Windows 365 Administrator
Użytkownicy z tą rolą mają uprawnienia globalne w zasobach systemu Windows 365, gdy usługa jest obecna. Ponadto ta rola zawiera możliwość zarządzania użytkownikami i urządzeniami w celu kojarzenia zasad, a także tworzenia grup i zarządzania nimi.
Ta rola może tworzyć grupy zabezpieczeń i zarządzać nimi, ale nie ma uprawnień administratora do grup platformy Microsoft 365. Oznacza to, że administratorzy nie mogą aktualizować właścicieli ani członkostwa w grupach platformy Microsoft 365 w organizacji. Mogą jednak zarządzać utworzoną przez siebie grupą platformy Microsoft 365, która jest częścią swoich uprawnień użytkownika końcowego. Dlatego każda utworzona grupa platformy Microsoft 365 (a nie grupa zabezpieczeń) jest liowana względem limitu przydziału 250.
Przypisz rolę Administrator systemu Windows 365 do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie Komputer w chmurze Windows 365 w usłudze Microsoft Intune
- Rejestrowanie urządzeń i zarządzanie nimi w identyfikatorze Entra firmy Microsoft, w tym przypisywanie użytkowników i zasad
- Tworzenie grup zabezpieczeń i zarządzanie nimi, ale nie grup z możliwością przypisywania ról
- Wyświetlanie podstawowych właściwości w Centrum administracyjne platformy Microsoft 365
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
- Tworzenie biletów pomocy technicznej i zarządzanie nimi na platformie Azure i Centrum administracyjne platformy Microsoft 365
Akcje | opis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Tworzenie biletów pomoc techniczna platformy Azure i zarządzanie nimi |
microsoft.cloudPC/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami systemu Windows 365 |
microsoft.directory/deletedItems.devices/delete | Trwałe usuwanie urządzeń, których nie można już przywrócić |
microsoft.directory/deletedItems.devices/restore | Przywracanie nietrwałych usuniętych urządzeń do stanu pierwotnego |
microsoft.directory/deviceManagementPolicies/standard/read | Odczytywanie standardowych właściwości zarządzania urządzeniami przenośnymi i zasad zarządzania aplikacjami mobilnymi |
microsoft.directory/deviceRegistrationPolicy/standard/read | Odczytywanie standardowych właściwości zasad rejestracji urządzeń |
microsoft.directory/devices/basic/update | Aktualizowanie podstawowych właściwości na urządzeniach |
microsoft.directory/devices/create | Tworzenie urządzeń (rejestrowanie w usłudze Microsoft Entra ID) |
microsoft.directory/devices/delete | Usuwanie urządzeń z identyfikatora entra firmy Microsoft |
microsoft.directory/devices/disable | Wyłączanie urządzeń w identyfikatorze Entra firmy Microsoft |
microsoft.directory/devices/enable | Włączanie urządzeń w identyfikatorze Entra firmy Microsoft |
microsoft.directory/devices/extensionAttributeSet1/update | Aktualizowanie rozszerzeniaAttribute1 do właściwości extensionAttribute5 na urządzeniach |
microsoft.directory/devices/extensionAttributeSet2/update | Aktualizowanie rozszerzeniaAttribute6 do właściwości extensionAttribute10 na urządzeniach |
microsoft.directory/devices/extensionAttributeSet3/update | Aktualizowanie rozszerzeniaAttribute11 do właściwości extensionAttribute15 na urządzeniach |
microsoft.directory/devices/registeredOwners/update | Aktualizowanie zarejestrowanych właścicieli urządzeń |
microsoft.directory/devices/registeredUsers/update | Aktualizowanie zarejestrowanych użytkowników urządzeń |
microsoft.directory/groups.security/basic/update | Aktualizowanie podstawowych właściwości grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/classification/update | Aktualizowanie właściwości klasyfikacji w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/create | Tworzenie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/delete | Usuwanie grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizowanie reguły członkostwa dynamicznego w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/members/update | Aktualizowanie członków grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/owner/update | Aktualizowanie właścicieli grup zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.security/visibility/update | Aktualizowanie właściwości widoczności w grupach zabezpieczeń z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
Administrator wdrażania usługi Windows Update
Użytkownicy w tej roli mogą tworzyć wszystkie aspekty wdrożeń usługi Windows Update i zarządzać nimi za pośrednictwem usługi wdrażania Windows Update dla firm. Usługa wdrażania umożliwia użytkownikom definiowanie ustawień dotyczących sposobu wdrażania i sposobu wdrażania aktualizacji oraz określanie, które aktualizacje są oferowane grupom urządzeń w dzierżawie. Umożliwia również użytkownikom monitorowanie postępu aktualizacji.
Akcje | opis |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Odczytywanie i konfigurowanie wszystkich aspektów usługi Windows Update |
Yammer Administrator
Przypisz rolę Administratora usługi Yammer do użytkowników, którzy muszą wykonywać następujące zadania:
- Zarządzanie wszystkimi aspektami usługi Yammer
- Tworzenie i przywracanie Grupy Microsoft 365 oraz zarządzanie nimi, ale nie grupy z możliwością przypisywania ról
- Wyświetlanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról
- Odczytywanie raportów użycia w Centrum administracyjne platformy Microsoft 365
- Tworzenie żądań obsługi i zarządzanie nimi w Centrum administracyjne platformy Microsoft 365
- Wyświetlanie anonsów w Centrum wiadomości, ale nie anonsów zabezpieczeń
- Wyświetlanie kondycji usług
Akcje | opis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Odczytywanie ukrytych członków grup zabezpieczeń i grup platformy Microsoft 365, w tym grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/basic/update | Aktualizowanie podstawowych właściwości grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/create | Tworzenie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/delete | Usuwanie grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/members/update | Aktualizowanie członków grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/owners/update | Aktualizowanie właścicieli grup platformy Microsoft 365 z wyłączeniem grup z możliwością przypisywania ról |
microsoft.directory/groups.unified/restore | Przywracanie grup platformy Microsoft 365 z kontenera usuniętego nietrwale z wyłączeniem grup z możliwością przypisywania ról |
microsoft.office365.messageCenter/messages/read | Odczytywanie komunikatów w Centrum wiadomości w Centrum administracyjne platformy Microsoft 365 z wyłączeniem komunikatów zabezpieczeń |
microsoft.office365.network/performance/allProperties/read | Odczytywanie wszystkich właściwości wydajności sieci w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Odczytywanie i konfigurowanie usługi Service Health w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Tworzenie żądań obsługi platformy Microsoft 365 i zarządzanie nimi |
microsoft.office365.usageReports/allEntities/allProperties/read | Odczytywanie raportów użycia usługi Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Odczytywanie podstawowych właściwości wszystkich zasobów w Centrum administracyjne platformy Microsoft 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Zarządzanie wszystkimi aspektami usługi Yammer |
Przestarzałe role
Następujące role nie powinny być używane. Zostały one wycofane i zostaną usunięte z identyfikatora Entra firmy Microsoft w przyszłości.
- Administrator licencji adhoc
- Dołączanie urządzenia
- Menedżer urządzeń
- Użytkownicy urządzeń
- Autor zweryfikowanego użytkownika pocztą e-mail
- Administrator skrzynki pocztowej
- Dołączanie urządzenia w miejscu pracy
Role nie są wyświetlane w portalu
Nie każda rola zwracana przez program PowerShell lub interfejs API programu MS Graph jest widoczna w witrynie Azure Portal. Poniższa tabela organizuje te różnice.
Nazwa interfejsu API | Nazwa witryny Azure Portal | Uwagi |
---|---|---|
Dołączanie urządzenia | Przestarzałe | Dokumentacja przestarzałych ról |
Menedżer urządzeń | Przestarzałe | Dokumentacja przestarzałych ról |
Użytkownicy urządzeń | Przestarzałe | Dokumentacja przestarzałych ról |
Konta synchronizacji katalogów | Nie pokazano, ponieważ nie należy go używać | Dokumentacja kont synchronizacji katalogów |
Użytkownik-gość | Nie pokazano, ponieważ nie można go użyć | NA |
Pomoc techniczna dla partnerów w warstwie 1 | Nie pokazano, ponieważ nie należy go używać | Dokumentacja pomocy technicznej dla partnerów w warstwie 1 |
Pomoc techniczna dla partnerów w warstwie 2 | Nie pokazano, ponieważ nie należy go używać | Dokumentacja pomocy technicznej dla partnerów w warstwie 2 |
Użytkownik-gość z ograniczeniami | Nie pokazano, ponieważ nie można go użyć | NA |
User | Nie pokazano, ponieważ nie można go użyć | NA |
Dołączanie urządzenia w miejscu pracy | Przestarzałe | Dokumentacja przestarzałych ról |