Dela via


Inbyggda Microsoft Entra-roller

Om en annan administratör eller icke-administratör behöver hantera Microsoft Entra-resurser i Microsoft Entra-ID tilldelar du dem en Microsoft Entra-roll som ger de behörigheter de behöver. Du kan till exempel tilldela roller för att tillåta att användare läggs till eller ändras, återställa användarlösenord, hantera användarlicenser eller hantera domännamn.

I den här artikeln visas de inbyggda Microsoft Entra-roller som du kan tilldela för att tillåta hantering av Microsoft Entra-resurser. Information om hur du tilldelar roller finns i Tilldela Microsoft Entra-roller till användare. Om du letar efter roller för att hantera Azure-resurser kan du läsa inbyggda Azure-roller.

Alla roller

Roll beskrivning Mall-ID
AI-administratör Hantera alla aspekter av Microsoft 365 Copilot och AI-relaterade företagstjänster i Microsoft 365. d2562ede-74db-457e-a7b6-544e236ebb61
Programadministratör Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar.
Ikon för privilegierad etikett.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Programutvecklare Kan skapa programregistreringar oberoende av inställningen "Användare kan registrera program".
Ikon för privilegierad etikett.
cf1c38e5-3621-4004-a7cb-879624dced7c
Attack Payload Author Kan skapa angreppsnyttolaster som en administratör kan initiera senare. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administratör för attacksimulering Kan skapa och hantera alla aspekter av attacksimuleringskampanjer. c430b396-e693-46cc-96f3-db01bf8bb62a
Attributtilldelningsadministratör Tilldela anpassade säkerhetsattributnycklar och -värden till Microsoft Entra-objekt som stöds. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Attributtilldelningsläsare Läs anpassade nycklar och värden för säkerhetsattribut för Microsoft Entra-objekt som stöds. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Attributdefinitionsadministratör Definiera och hantera definitionen av anpassade säkerhetsattribut. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Attributdefinitionsläsare Läs definitionen av anpassade säkerhetsattribut. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administratör för attributlogg Läs granskningsloggar och konfigurera diagnostikinställningar för händelser som rör anpassade säkerhetsattribut. 5b784334-f94b-471a-a387-e7219fc49ca2
Attributloggläsare Läs granskningsloggar relaterade till anpassade säkerhetsattribut. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Autentiseringsadministratör Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla icke-administratörsanvändare.
Ikon för privilegierad etikett.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Utökningsbarhetsadministratör för autentisering Anpassa inloggnings- och registreringsupplevelser för användare genom att skapa och hantera anpassade autentiseringstillägg.
Ikon för privilegierad etikett.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Administratör för autentiseringsprincip Kan skapa och hantera autentiseringsmetodernas princip, MFA-inställningar för hela klientorganisationen, lösenordsskyddsprincip och verifierbara autentiseringsuppgifter. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps-administratör Kan hantera Azure DevOps-principer och -inställningar. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection-administratör Kan hantera alla aspekter av Azure Information Protection-produkten. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF-nyckeluppsättningsadministratör Kan hantera hemligheter för federation och kryptering i IEF (IDENTITY Experience Framework).
Ikon för privilegierad etikett.
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF-principadministratör Kan skapa och hantera principer för förtroenderamverk i IEF (Identity Experience Framework). 3edaf663-341e-4475-9f94-5c398ef6c070
Faktureringsadministratör Kan utföra vanliga faktureringsrelaterade uppgifter som uppdatering av betalningsinformation. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security-administratör Kan hantera alla aspekter av produkten Defender för molnet Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Molnprogramadministratör Kan skapa och hantera alla aspekter av appregistreringar och enterprise-appar förutom App Proxy.
Ikon för privilegierad etikett.
158c047a-c907-4556-b7ef-446551a6b5f7
Molnenhetsadministratör Begränsad åtkomst till att hantera enheter i Microsoft Entra-ID.
Ikon för privilegierad etikett.
7698a772-787b-4ac8-901f-60d6b08affd2
Efterlevnadsadministratör Kan läsa och hantera efterlevnadskonfiguration och rapporter i Microsoft Entra ID och Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administratör för efterlevnadsdata Skapar och hanterar efterlevnadsinnehåll. e6d1a23a-da11-4be4-9570-befc86d067a7
Administratör för villkorsstyrd åtkomst Kan hantera funktioner för villkorsstyrd åtkomst.
Ikon för privilegierad etikett.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Customer LockBox Access-godkännare Kan godkänna Microsofts supportförfrågningar för att få åtkomst till kundens organisationsdata. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administratör för Skrivbordsanalys Har åtkomst till och kan hantera skrivbordshanteringsverktyg och tjänster. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Katalogläsare Kan läsa grundläggande kataloginformation. Används ofta för att bevilja katalogläsningsåtkomst till program och gäster. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Katalogsynkroniseringskonton Används endast av Microsoft Entra Connect-tjänsten. d29b2b05-8046-44ba-8758-1e26182fcf32
Katalogförfattare Kan läsa och skriva grundläggande kataloginformation. För att bevilja åtkomst till program, inte avsett för användare.
Ikon för privilegierad etikett.
9360feb5-f418-4baa-8175-e2a00bac4301
Domännamnsadministratör Kan hantera domännamn i molnet och lokalt.
Ikon för privilegierad etikett.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365-administratör Kan hantera alla aspekter av Dynamics 365-produkten. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central-administratör Få åtkomst till och utföra alla administrativa uppgifter i Dynamics 365 Business Central-miljöer. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge-administratör Hantera alla aspekter av Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange-administratör Kan hantera alla aspekter av Exchange-produkten. 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange-mottagaradministratör Kan skapa eller uppdatera Exchange Online-mottagare i Exchange Online-organisationen. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administratör för externt ID-användarflöde Kan skapa och hantera alla aspekter av användarflöden. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administratör för användarflödesattribut för externt ID Kan skapa och hantera attributschemat som är tillgängligt för alla användarflöden. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administratör för extern identitetsprovider Kan konfigurera identitetsprovidrar för användning i direkt federation.
Ikon för privilegierad etikett.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Infrastrukturadministratör Kan hantera alla aspekter av Fabric- och Power BI-produkterna. a9ea8996-122f-4c74-9520-8edcd192826c
Global administratör för Kan hantera alla aspekter av Microsoft Entra-ID och Microsoft-tjänster som använder Microsoft Entra-identiteter.
Ikon för privilegierad etikett.
62e90394-69f5-4237-9190-012177145e10
Global läsare Kan läsa allt som en global administratör kan, men inte uppdatera något.
Ikon för privilegierad etikett.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Global administratör för säker åtkomst Skapa och hantera alla aspekter av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst, inklusive hantering av åtkomst till offentliga och privata slutpunkter. ac434307-12b9-4fa1-a708-88bf58caabc1
Gruppadministratör Medlemmar i den här rollen kan skapa/hantera grupper, skapa/hantera gruppinställningar som namngivnings- och förfalloprinciper samt visa gruppers aktivitet och granskningsrapporter. fdd7a751-b60b-444a-984c-02652fe8fa1c
Gäst inbjudare Kan bjuda in gästanvändare oberoende av inställningen för om medlemmar kan bjuda in gäster. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Supportadministratör Kan återställa lösenord för icke-administratörer och Helpdeks-administratörer.
Ikon för privilegierad etikett.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybrididentitetsadministratör Hantera Active Directory till Microsoft Entra-molnetablering, Microsoft Entra Connect, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel inloggning (sömlös enkel inloggning) och federationsinställningar. Har inte åtkomst till att hantera Microsoft Entra Connect Health.
Ikon för privilegierad etikett.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administratör för identitetsstyrning Hantera åtkomst med hjälp av Microsoft Entra-ID för scenarier för identitetsstyrning. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights-administratör Har administrativ åtkomst i Microsoft 365 Insights-appen. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights-analytiker Få åtkomst till analysfunktionerna i Microsoft Viva Insights och kör anpassade frågor. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Kan visa och dela instrumentpaneler och insikter via Microsoft 365 Insights-appen. 31e939ad-9672-4796-9c2e-873181342d2d
Intune-administratör Kan hantera alla aspekter av Intune-produkten.
Ikon för privilegierad etikett.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala-administratör Kan hantera inställningar för Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Kunskapsadministratör Kan konfigurera kunskap, inlärning och andra intelligenta funktioner. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Knowledge Manager Kan organisera, skapa, hantera och främja ämnen och kunskap. 744ec460-397e-42ad-a462-8b3f9747a02c
Licensadministratör Kan hantera produktlicenser för användare och grupper. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administratör för livscykelarbetsflöden Skapa och hantera alla aspekter av arbetsflöden och uppgifter som är associerade med livscykelarbetsflöden i Microsoft Entra-ID.
Ikon för privilegierad etikett.
59d46f88-662b-457b-bceb-5c3809e5908f
Sekretessläsare för Meddelandecenter Kan endast läsa säkerhetsmeddelanden och uppdateringar i Office 365 Meddelandecenter. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Meddelandecenterläsare Kan endast läsa meddelanden och uppdateringar för organisationen i Office 365 Meddelandecenter. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365-migreringsadministratör Utför alla migreringsfunktioner för att migrera innehåll till Microsoft 365 med Migreringshanteraren. 8c8b803f-96e1-4129-9349-20738d9f9652
Lokal administratör för Microsoft Entra-ansluten enhet Användare som tilldelats den här rollen läggs till i den lokala administratörsgruppen på Microsoft Entra-anslutna enheter. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsofts administratör för maskinvarugaranti Skapa och hantera alla aspekter av garantianspråk och rättigheter för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft Hardware Warranty Specialist Skapa och läsa garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Modern handelsadministratör Kan hantera kommersiella inköp för ett företag, en avdelning eller ett team. d24aef57-1500-4070-84db-2666f29cf966
Nätverksadministratör Kan hantera nätverksplatser och granska designinsikter för företagsnätverk för Microsoft 365 Software as a Service-program. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administratör för Office-appar Kan hantera Office-appen molntjänster, inklusive princip- och inställningshantering, och hantera möjligheten att välja, avmarkera och publicera "nyheter"-funktionsinnehåll på slutanvändarens enheter. 2b745bdf-0803-4d80-aa65-822c4493daac
Organisationsanpassningsadministratör Hantera alla aspekter av organisationsanpassning i en klientorganisation. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Godkännare för organisationsmeddelanden Granska, godkänna eller avvisa nya organisationsmeddelanden för leverans i Administrationscenter för Microsoft 365 innan de skickas till användare. e48398e2-f4bb-4074-8f31-4586725e205b
Författare av organisationsmeddelanden Skriva, publicera, hantera och granska organisationens meddelanden för slutanvändare via Microsofts produktytor. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Stöd för partnernivå 1 Använd inte – inte avsedd för allmän användning.
Ikon för privilegierad etikett.
4ba39ca4-527c-499a-b93d-d9b492c50246
Support för partnernivå 2 Använd inte – inte avsedd för allmän användning.
Ikon för privilegierad etikett.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Lösenordsadministratör Kan återställa lösenord för icke-administratörer och lösenordsadministratörer.
Ikon för privilegierad etikett.
966707d0-3269-4727-9be2-8c3a10f19b9d
Administratör för behörighetshantering Hantera alla aspekter av Microsoft Entra – behörighetshantering. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform-administratör Kan skapa och hantera alla aspekter av Microsoft Dynamics 365, Power Apps och Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Skrivaradministratör Kan hantera alla aspekter av skrivare och skrivaranslutningar. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Skrivartekniker Kan registrera och avregistrera skrivare och uppdatera skrivarstatus. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administratör för privilegierad autentisering Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör).
Ikon för privilegierad etikett.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administratör för privilegierad roll Kan hantera rolltilldelningar i Microsoft Entra-ID och alla aspekter av Privileged Identity Management.
Ikon för privilegierad etikett.
e8611ab8-c189-46e8-94e1-60213ab1f814
Rapportläsare Kan läsa inloggnings- och granskningsrapporter. 4a5d8f65-41da-4de4-8968-e035b65339cf
Sökadministratör Kan skapa och hantera alla aspekter av Microsoft Search-inställningar. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Sökredigeraren Kan skapa och hantera det redaktionella innehållet, till exempel bokmärken, Q och As, platser, planritning. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Säkerhetsadministratör Kan läsa säkerhetsinformation och rapporter och hantera konfiguration i Microsoft Entra-ID och Office 365.
Ikon för privilegierad etikett.
194ae4cb-b126-40b2-bd5b-6091b380977d
Säkerhetsoperator Skapar och hanterar säkerhetshändelser.
Ikon för privilegierad etikett.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Säkerhetsläsare Kan läsa säkerhetsinformation och rapporter i Microsoft Entra ID och Office 365.
Ikon för privilegierad etikett.
5d6b6bb7-de71-4623-b4af-96380a352509
Tjänstsupportadministratör Kan läsa information om tjänstens hälsa och hantera supportärenden. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint-administratör Kan hantera alla aspekter av SharePoint-tjänsten. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
SharePoint Embedded-administratör Hantera alla aspekter av SharePoint Embedded-containrar. 1a7d78b6-429f-476b-b8eb-35fb715fffd4
Skype för företag administratör Kan hantera alla aspekter av Skype för företag produkt. 75941009-915a-4869-abe7-691bff18279e
Teams-administratör Kan hantera Microsoft Teams-tjänsten. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams kommunikationsadministratör Kan hantera samtals- och mötesfunktioner i Microsoft Teams-tjänsten. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Supporttekniker för Teams-kommunikation Kan felsöka kommunikationsproblem i Teams med hjälp av avancerade verktyg. f70938a0-fc10-4177-9e90-2178f8765737
Supportspecialist för Teams-kommunikation Kan felsöka kommunikationsproblem i Teams med hjälp av grundläggande verktyg. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administratör för Teams-enheter Kan utföra hanteringsrelaterade uppgifter på Teams-certifierade enheter. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Teams telefoniadministratör Hantera röst- och telefonifunktioner och felsöka kommunikationsproblem i Microsoft Teams-tjänsten. aa38014f-0993-46e9-9b45-30501a20909d
Skapare av klientorganisation Skapa nya Microsoft Entra- eller Azure AD B2C-klienter. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Läsare av användningssammanfattningsrapporter Läs användningsrapporter och implementeringspoäng, men kan inte komma åt användarinformation. 75934031-6c7e-415a-99d7-48dbd49e875e
Användaradministratör Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer.
Ikon för privilegierad etikett.
fe930be7-5e62-47db-91af-98c3a49a38b1
Hanteraren för användarupplevelse Visa produktfeedback, undersökningsresultat och rapporter för att hitta utbildnings- och kommunikationsmöjligheter. 27460883-1df1-4691-b032-3b79643e5e63
Administratör för virtuella besök Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva-måladministratör Hantera och konfigurera alla aspekter av Microsoft Viva-mål. 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse-administratör Kan hantera alla inställningar för Microsoft Viva Pulse-appen. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365-administratör Kan etablera och hantera alla aspekter av molndatorer. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Distributionsadministratör för Windows Update Kan skapa och hantera alla aspekter av Windows Update-distributioner via distributionstjänsten Windows Update för företag. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer-administratör Hantera alla aspekter av Yammer-tjänsten. 810a2642-a034-447f-a5e8-41beaa378541

AI-administratör

Tilldela ROLLEN AI-administratör till användare som behöver utföra följande uppgifter:

  • Hantera alla aspekter av Microsoft 365 Copilot
  • Hantera AI-relaterade företagstjänster, utökningsbarhet och copilot-agenter från sidan Integrerade appar i Administrationscenter för Microsoft 365
  • Godkänna och publicera verksamhetsspecifika copilotagenter
  • Tillåt användare att installera en app eller installera en app för användare i organisationen om appen inte kräver behörighet
  • Läsa och konfigurera azure- och Microsoft 365-tjänsthälsoinstrumentpaneler
  • Visa användningsrapporter, implementeringsinsikter och organisationsinsikter
  • Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.office365.copilot/allEntities/allProperties/allTasks Skapa och hantera alla inställningar för Microsoft 365 Copilot
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.search/content/manage Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Appadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan skapa och hantera alla aspekter av företagsprogram, programregistreringar och programproxyinställningar. Observera att användare som tilldelats den här rollen inte läggs till som ägare när nya programregistreringar eller företagsprogram skapas.

Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Azure AD Graph och Microsoft Graph.

Viktigt!

Det här undantaget innebär att du fortfarande kan godkänna programbehörigheter för andra appar (till exempel andra Microsoft-appar, appar från tredje part eller appar som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (dvs. samtycker till) dessa behörigheter krävs en mer privilegierad administratör, till exempel Privilegierad rolladministratör.

Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en utökade privilegier jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID
microsoft.directory/applicationPolicies/basic/update Uppdatera standardegenskaper för programprinciper
microsoft.directory/applicationPolicies/create Skapa programprinciper
microsoft.directory/applicationPolicies/delete Ta bort programprinciper
microsoft.directory/applicationPolicies/owners/read Läs ägare om programprinciper
microsoft.directory/applicationPolicies/owners/update Uppdatera ägaregenskapen för programprinciper
microsoft.directory/applicationPolicies/policyAppliedTo/read Läsa programprinciper som tillämpas på objektlistan
microsoft.directory/applicationPolicies/standard/read Läsa standardegenskaper för programprinciper
microsoft.directory/applications/applicationProxyAuthentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/applicationProxy/read Läs alla egenskaper för programproxy
microsoft.directory/applications/applicationProxySslCertificate/update Uppdatera SSL-certifikatinställningar för programproxy
microsoft.directory/applications/applicationProxy/update Uppdatera alla egenskaper för programproxy
microsoft.directory/applications/applicationProxyUrlSettings/update Uppdatera URL-inställningar för programproxy
microsoft.directory/applications/appRoles/update Uppdatera egenskapen appRoles för alla typer av program
microsoft.directory/applications/audience/update Uppdatera målgruppsegenskapen för program
microsoft.directory/applications/authentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program
microsoft.directory/applications/create Skapa alla typer av program
microsoft.directory/applications/credentials/update Uppdatera programautentiseringsuppgifter
Ikon för privilegierad etikett.
microsoft.directory/applications/delete Ta bort alla typer av program
microsoft.directory/applications/extensionProperties/update Uppdatera tilläggsegenskaper för program
microsoft.directory/applications/notes/update Uppdatera anteckningar om program
microsoft.directory/applications/owners/update Uppdatera ägare av program
microsoft.directory/applications/permissions/update Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/applications/tag/update Uppdatera taggar för program
microsoft.directory/applications/verification/update Uppdatera egenskapen applicationsverification
microsoft.directory/applicationTemplates/instantiate Instansiera galleriprogram från programmallar
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/connectorGroups/allProperties/read Läs alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/allProperties/update Uppdatera alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/create Skapa privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/delete Ta bort privata nätverksanslutningsgrupper
microsoft.directory/connectors/allProperties/read Läs alla egenskaper för privata nätverksanslutningar
microsoft.directory/connectors/create Skapa privata nätverksanslutningar
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Skapa och hantera anpassade autentiseringstillägg
Ikon för privilegierad etikett.
microsoft.directory/deletedItems.applications/delete Ta bort program permanent, som inte längre kan återställas
microsoft.directory/deletedItems.applications/restore Återställa mjukt borttagna program till ursprungligt tillstånd
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/audience/update Uppdatera målgruppsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/authentication/update Uppdatera autentiseringsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/create Skapa tjänsthuvudnamn
microsoft.directory/servicePrincipals/credentials/update Uppdatera autentiseringsuppgifter för tjänstens huvudnamn
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/delete Ta bort tjänstens huvudnamn
microsoft.directory/servicePrincipals/disable Inaktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/enable Aktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Hantera autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Läsa autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller användare, förutom programbehörigheter för Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Uppdatera anteckningar om tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/update Uppdatera ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/permissions/update Uppdatera behörigheter för tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/update Uppdatera principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Hantera programetableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/servicePrincipals/tag/update Uppdatera taggegenskapen för tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Programutvecklare

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan skapa programregistreringar när inställningen "Användare kan registrera program" är inställd på Nej. Den här rollen ger också behörighet att godkänna för ens egen räkning när inställningen "Användare kan samtycka till att appar får åtkomst till företagsdata för deras räkning" har angetts till Nej. Användare som tilldelats den här rollen läggs till som ägare när nya programregistreringar skapas.

Åtgärder beskrivning
microsoft.directory/applications/createAsOwner Skapa alla typer av program och skaparen läggs till som första ägare
microsoft.directory/oAuth2PermissionGrants/createAsOwner Skapa OAuth 2.0-behörighetsbidrag med skaparen som första ägare
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/createAsOwner Skapa tjänstens huvudnamn med skaparen som första ägare

Attack Payload Author

Användare i den här rollen kan skapa attacknyttolaster men inte starta eller schemalägga dem. Attacknyttolaster är sedan tillgängliga för alla administratörer i klientorganisationen som kan använda dem för att skapa en simulering.

Mer information finns i Microsoft Defender för Office 365 behörigheter i Microsoft 365 Defender-portalen och Behörigheter i efterlevnadsportal i Microsoft Purview.

Åtgärder beskrivning
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Skapa och hantera attacknyttolaster i Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Läs rapporter om attacksimulering, svar och tillhörande utbildning

Administratör för attacksimulering

Användare i den här rollen kan skapa och hantera alla aspekter av skapande av attacksimulering, start/schemaläggning av en simulering och granskning av simuleringsresultat. Medlemmar i den här rollen har den här åtkomsten för alla simuleringar i klientorganisationen.

Mer information finns i Microsoft Defender för Office 365 behörigheter i Microsoft 365 Defender-portalen och Behörigheter i efterlevnadsportal i Microsoft Purview.

Åtgärder beskrivning
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Skapa och hantera attacknyttolaster i Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Läs rapporter om attacksimulering, svar och tillhörande utbildning
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Skapa och hantera mallar för attacksimulering i Attack Simulator

Attributtilldelningsadministratör

Användare med den här rollen kan tilldela och ta bort nycklar och värden för anpassade säkerhetsattribut för Microsoft Entra-objekt som stöds, till exempel användare, tjänstens huvudnamn och enheter.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/attributeSets/allProperties/read Läsa alla egenskaper för attributuppsättningar
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för Microsoft Entra-hanterade identiteter
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Uppdatera anpassade säkerhetsattributvärden för Microsoft Entra-hanterade identiteter
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Läs alla egenskaper för definitioner av anpassade säkerhetsattribut
microsoft.directory/devices/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för enheter
microsoft.directory/devices/customSecurityAttributes/update Uppdatera anpassade säkerhetsattributvärden för enheter
microsoft.directory/servicePrincipals/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för tjänstens huvudnamn
microsoft.directory/servicePrincipals/customSecurityAttributes/update Uppdatera anpassade säkerhetsattributvärden för tjänstens huvudnamn
microsoft.directory/users/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för användare
microsoft.directory/users/customSecurityAttributes/update Uppdatera anpassade säkerhetsattributvärden för användare

Attributtilldelningsläsare

Användare med den här rollen kan läsa anpassade nycklar och värden för säkerhetsattribut för Microsoft Entra-objekt som stöds.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/attributeSets/allProperties/read Läsa alla egenskaper för attributuppsättningar
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för Microsoft Entra-hanterade identiteter
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Läs alla egenskaper för definitioner av anpassade säkerhetsattribut
microsoft.directory/devices/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för enheter
microsoft.directory/servicePrincipals/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för tjänstens huvudnamn
microsoft.directory/users/customSecurityAttributes/read Läsa anpassade säkerhetsattributvärden för användare

Attributdefinitionsadministratör

Användare med den här rollen kan definiera en giltig uppsättning anpassade säkerhetsattribut som kan tilldelas till Microsoft Entra-objekt som stöds. Den här rollen kan också aktivera och inaktivera anpassade säkerhetsattribut.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/attributeSets/allProperties/allTasks Hantera alla aspekter av attributuppsättningar
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Hantera alla aspekter av anpassade definitioner av säkerhetsattribut

Attributdefinitionsläsare

Användare med den här rollen kan läsa definitionen av anpassade säkerhetsattribut.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/attributeSets/allProperties/read Läsa alla egenskaper för attributuppsättningar
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Läs alla egenskaper för definitioner av anpassade säkerhetsattribut

Administratör för attributlogg

Tilldela rollen Attributloggläsare till användare som behöver utföra följande uppgifter:

  • Läsa granskningsloggar för värdeändringar för anpassade säkerhetsattribut
  • Läsa granskningsloggar för definitionsändringar och tilldelningar för anpassade säkerhetsattribut
  • Konfigurera diagnostikinställningar för anpassade säkerhetsattribut

Användare med den här rollen kan inte läsa granskningsloggar för andra händelser.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Konfigurera alla aspekter av diagnostikinställningar för anpassade säkerhetsattribut
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Läsa granskningsloggar relaterade till anpassade säkerhetsattribut

Attributloggläsare

Tilldela rollen Attributloggläsare till användare som behöver utföra följande uppgifter:

  • Läsa granskningsloggar för värdeändringar för anpassade säkerhetsattribut
  • Läsa granskningsloggar för definitionsändringar och tilldelningar för anpassade säkerhetsattribut

Användare med den här rollen kan inte utföra följande uppgifter:

  • Konfigurera diagnostikinställningar för anpassade säkerhetsattribut
  • Läsa granskningsloggar för andra händelser

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Läsa granskningsloggar relaterade till anpassade säkerhetsattribut

Autentiseringsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Tilldela rollen Autentiseringsadministratör till användare som behöver göra följande:

  • Ange eller återställ valfri autentiseringsmetod (inklusive lösenord) för icke-administratörer och vissa roller. En lista över de roller som en autentiseringsadministratör kan läsa eller uppdatera autentiseringsmetoder finns i Vem kan återställa lösenord.
  • Kräv att användare som inte är administratörer eller tilldelade till vissa roller ska registrera sig mot befintliga autentiseringsuppgifter som inte är lösenord (till exempel MFA eller FIDO) och kan även återkalla MFA på enheten, vilket uppmanar till MFA vid nästa inloggning.
  • Hantera MFA-inställningar i den äldre MFA-hanteringsportalen.
  • Utför känsliga åtgärder för vissa användare. Mer information finns i Vem kan utföra känsliga åtgärder.
  • Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365.

Användare med den här rollen kan inte göra följande:

  • Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
  • Det går inte att hantera OATH-maskinvarutoken.

I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.

Roll Hantera användarens autentiseringsmetoder Hantera MFA per användare Hantera MFA-inställningar Hantera policyn för autentiseringsmetod Hantera policyn för lösenordsskydd Uppdatera känsliga egenskaper Ta bort och återställa användare
Autentiseringsadministratör Ja för vissa användare Ja för vissa användare Ja Nej Nej Ja för vissa användare Ja för vissa användare
Administratör för privilegierad autentisering Ja för alla användare Ja för alla användare Nej Nej Nej Ja för alla användare Ja för alla användare
Administratör för autentiseringsprincip Nej Ja Ja Ja Ja Nej Nej
Användaradministratör Nej Nej Nej Nej Nej Ja för vissa användare Ja för vissa användare

Viktigt!

Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Microsoft Entra-ID. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:

  • Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
  • Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
  • Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
  • Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
  • Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/deletedItems.users/restore Återställa mjukt borttagna användare till ursprungligt tillstånd
microsoft.directory/users/authenticationMethods/basic/update Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/create Uppdatera autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/delete Ta bort autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/delete Ta bort användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.directory/users/restore Återställa borttagna användare
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Utökningsbarhetsadministratör för autentisering

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Tilldela rollen Utökningsbarhetsadministratör för autentisering till användare som behöver utföra följande uppgifter:

  • Skapa och hantera alla aspekter av anpassade autentiseringstillägg.

Användare med den här rollen kan inte göra följande:

  • Det går inte att tilldela anpassade autentiseringstillägg till program för att ändra autentiseringsupplevelsen och kan inte godkänna programbehörigheter eller skapa appregistreringar som är associerade med det anpassade autentiseringstillägget. I stället måste du använda rollerna Programadministratör, Programutvecklare eller Molnprogramadministratör.

Ett anpassat autentiseringstillägg är en API-slutpunkt som skapats av en utvecklare för autentiseringshändelser och är registrerad i Microsoft Entra-ID. Programadministratörer och programägare kan använda anpassade autentiseringstillägg för att anpassa programmets autentiseringsupplevelser, till exempel inloggning och registrering eller lösenordsåterställning.

Läs mer

Åtgärder beskrivning
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Skapa och hantera anpassade autentiseringstillägg
Ikon för privilegierad etikett.

Administratör av autentiseringsprincip

Tilldela rollen Administratör för autentiseringsprincip till användare som behöver göra följande:

  • Konfigurera principen för autentiseringsmetoder, klientomfattande MFA-inställningar och lösenordsskyddsprincip som avgör vilka metoder varje användare kan registrera och använda.
  • Hantera inställningar för lösenordsskydd: konfigurationer för smart utelåsning och uppdatering av listan över anpassade förbjudna lösenord.
  • Hantera MFA-inställningar i den äldre MFA-hanteringsportalen.
  • Skapa och hantera verifierbara autentiseringsuppgifter.
  • Skapa och hantera Azure Support biljetter.

Användare med den här rollen kan inte göra följande:

I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.

Roll Hantera användarens autentiseringsmetoder Hantera MFA per användare Hantera MFA-inställningar Hantera policyn för autentiseringsmetod Hantera policyn för lösenordsskydd Uppdatera känsliga egenskaper Ta bort och återställa användare
Autentiseringsadministratör Ja för vissa användare Ja för vissa användare Ja Nej Nej Ja för vissa användare Ja för vissa användare
Administratör för privilegierad autentisering Ja för alla användare Ja för alla användare Nej Nej Nej Ja för alla användare Ja för alla användare
Administratör för autentiseringsprincip Nej Ja Ja Ja Ja Nej Nej
Användaradministratör Nej Nej Nej Nej Nej Ja för vissa användare Ja för vissa användare
Åtgärder beskrivning
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/organization/strongAuthentication/allTasks Hantera alla aspekter av starka autentiseringsegenskaper i en organisation
microsoft.directory/userCredentialPolicies/basic/update Uppdatera grundläggande principer för användare
microsoft.directory/userCredentialPolicies/create Skapa principer för autentiseringsuppgifter för användare
microsoft.directory/userCredentialPolicies/delete Ta bort principer för autentiseringsuppgifter för användare
microsoft.directory/userCredentialPolicies/owners/read Läs ägare av principer för autentiseringsuppgifter för användare
microsoft.directory/userCredentialPolicies/owners/update Uppdatera ägare av principer för autentiseringsuppgifter för användare
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Läs policy.appliesTo navigeringslänk
microsoft.directory/userCredentialPolicies/standard/read Läsa standardegenskaper för autentiseringsprinciper för användare
microsoft.directory/userCredentialPolicies/tenantDefault/update Uppdatera egenskapen policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/allProperties/update Uppdateringskonfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Läsa ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Uppdatera ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Läsa ett verifierbart autentiseringskort
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Återkalla ett verifierbart autentiseringskort
microsoft.directory/verifiableCredentials/configuration/contracts/create Skapa ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/create Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/delete Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter

Azure DevOps-administratör

Användare med den här rollen kan hantera alla Azure DevOps-principer för företag, som gäller för alla Azure DevOps-organisationer som backas upp av Microsoft Entra-ID. Användare i den här rollen kan hantera dessa principer genom att gå till valfri Azure DevOps-organisation som backas upp av företagets Microsoft Entra-ID. Dessutom kan användare i den här rollen göra anspråk på ägarskap för överblivna Azure DevOps-organisationer. Den här rollen ger inga andra Azure DevOps-specifika behörigheter (till exempel Projektsamlingsadministratörer) i någon av De Azure DevOps-organisationer som backas upp av företagets Microsoft Entra-organisation.

Åtgärder beskrivning
microsoft.azure.devOps/allEntities/allTasks Läsa och konfigurera Azure DevOps

Azure Information Protection-administratör

Användare med den här rollen har alla behörigheter i Azure Information Protection-tjänsten. Med den här rollen kan du konfigurera etiketter för Azure Information Protection-principen, hantera skyddsmallar och aktivera skydd. Den här rollen beviljar inga behörigheter i Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-portalen eller efterlevnadsportal i Microsoft Purview.

Åtgärder beskrivning
microsoft.azure.informationProtection/allEntities/allTasks Hantera alla aspekter av Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

B2C IEF Keyset Administrator

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användaren kan skapa och hantera principnycklar och hemligheter för tokenkryptering, tokensignaturer och anspråkskryptering. Genom att lägga till nya nycklar i befintliga nyckelcontainrar kan den här begränsade administratören återställa hemligheter efter behov utan att påverka befintliga program. Den här användaren kan se det fullständiga innehållet i dessa hemligheter och deras förfallodatum även när de har skapats.

Viktigt!

Det här är en känslig roll. Nyckeluppsättningens administratörsroll bör granskas noggrant och tilldelas med försiktighet under förproduktion och produktion.

Åtgärder beskrivning
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Läsa och konfigurera nyckeluppsättningar i Azure Active Directory B2C
Ikon för privilegierad etikett.

B2C IEF Policy Administrator

Användare i den här rollen kan skapa, läsa, uppdatera och ta bort alla anpassade principer i Azure AD B2C och har därför fullständig kontroll över Identity Experience Framework i relevant Azure AD B2C-organisation. Genom att redigera principer kan den här användaren upprätta direkt federation med externa identitetsprovidrar, ändra katalogschemat, ändra allt användarbaserat innehåll (HTML, CSS, JavaScript), ändra kraven för att slutföra en autentisering, skapa nya användare, skicka användardata till externa system, inklusive fullständiga migreringar och redigera all användarinformation, inklusive känsliga fält som lösenord och telefonnummer. Den här rollen kan däremot inte ändra krypteringsnycklarna eller redigera hemligheterna som används för federation i organisationen.

Viktigt!

B2 IEF-principadministratören är en mycket känslig roll som bör tilldelas på mycket begränsad basis för organisationer i produktion. Aktiviteter av dessa användare bör granskas noggrant, särskilt för organisationer i produktion.

Åtgärder beskrivning
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Läsa och konfigurera anpassade principer i Azure Active Directory B2C

Faktureringsadministratör

Gör inköp, hanterar prenumerationer, hanterar supportärenden och övervakar tjänstens hälsa.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.commerce.billing/allEntities/allProperties/allTasks Hantera alla aspekter av Office 365-fakturering
microsoft.directory/organization/basic/update Uppdatera grundläggande egenskaper i organisationen
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Cloud App Security-administratör

Användare med den här rollen har fullständiga behörigheter i Defender för molnet Apps. De kan lägga till administratörer, lägga till principer och inställningar för Microsoft Defender för molnet Appar, ladda upp loggar och utföra styrningsåtgärder.

Åtgärder beskrivning
microsoft.directory/cloudAppSecurity/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Molnappadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen har samma behörigheter som programadministratörsrollen, exklusive möjligheten att hantera programproxy. Den här rollen ger möjlighet att skapa och hantera alla aspekter av företagsprogram och programregistreringar. Användare som har tilldelats den här rollen läggs inte till som ägare när nya programregistreringar eller företagsprogram skapas.

Den här rollen ger också möjlighet att godkänna delegerade behörigheter och programbehörigheter, med undantag för programbehörigheter för Azure AD Graph och Microsoft Graph.

Viktigt!

Det här undantaget innebär att du fortfarande kan godkänna programbehörigheter för andra appar (till exempel andra Microsoft-appar, appar från tredje part eller appar som du har registrerat). Du kan fortfarande begära dessa behörigheter som en del av appregistreringen, men om du beviljar (dvs. samtycker till) dessa behörigheter krävs en mer privilegierad administratör, till exempel Privilegierad rolladministratör.

Den här rollen ger möjlighet att hantera programautentiseringsuppgifter. Användare som tilldelats den här rollen kan lägga till autentiseringsuppgifter i ett program och använda dessa autentiseringsuppgifter för att personifiera programmets identitet. Om programmets identitet har beviljats åtkomst till en resurs, till exempel möjligheten att skapa eller uppdatera användare eller andra objekt, kan en användare som tilldelats den här rollen utföra dessa åtgärder när programmet personifieras. Den här möjligheten att personifiera programmets identitet kan vara en utökade privilegier jämfört med vad användaren kan göra via sina rolltilldelningar. Det är viktigt att förstå att tilldela en användare till rollen Programadministratör ger dem möjlighet att personifiera ett programs identitet.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID
microsoft.directory/applicationPolicies/basic/update Uppdatera standardegenskaper för programprinciper
microsoft.directory/applicationPolicies/create Skapa programprinciper
microsoft.directory/applicationPolicies/delete Ta bort programprinciper
microsoft.directory/applicationPolicies/owners/read Läs ägare om programprinciper
microsoft.directory/applicationPolicies/owners/update Uppdatera ägaregenskapen för programprinciper
microsoft.directory/applicationPolicies/policyAppliedTo/read Läsa programprinciper som tillämpas på objektlistan
microsoft.directory/applicationPolicies/standard/read Läsa standardegenskaper för programprinciper
microsoft.directory/applications/appRoles/update Uppdatera egenskapen appRoles för alla typer av program
microsoft.directory/applications/audience/update Uppdatera målgruppsegenskapen för program
microsoft.directory/applications/authentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program
microsoft.directory/applications/create Skapa alla typer av program
microsoft.directory/applications/credentials/update Uppdatera programautentiseringsuppgifter
Ikon för privilegierad etikett.
microsoft.directory/applications/delete Ta bort alla typer av program
microsoft.directory/applications/extensionProperties/update Uppdatera tilläggsegenskaper för program
microsoft.directory/applications/notes/update Uppdatera anteckningar om program
microsoft.directory/applications/owners/update Uppdatera ägare av program
microsoft.directory/applications/permissions/update Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/applications/tag/update Uppdatera taggar för program
microsoft.directory/applications/verification/update Uppdatera egenskapen applicationsverification
microsoft.directory/applicationTemplates/instantiate Instansiera galleriprogram från programmallar
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/deletedItems.applications/delete Ta bort program permanent, som inte längre kan återställas
microsoft.directory/deletedItems.applications/restore Återställa mjukt borttagna program till ursprungligt tillstånd
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/audience/update Uppdatera målgruppsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/authentication/update Uppdatera autentiseringsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/create Skapa tjänsthuvudnamn
microsoft.directory/servicePrincipals/credentials/update Uppdatera autentiseringsuppgifter för tjänstens huvudnamn
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/delete Ta bort tjänstens huvudnamn
microsoft.directory/servicePrincipals/disable Inaktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/enable Aktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Hantera autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Läsa autentiseringsuppgifter för enkel inloggning för lösenord på tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Bevilja medgivande för programbehörigheter och delegerade behörigheter för alla användare eller användare, förutom programbehörigheter för Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Uppdatera anteckningar om tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/update Uppdatera ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/permissions/update Uppdatera behörigheter för tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/update Uppdatera principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Hantera programetableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/servicePrincipals/tag/update Uppdatera taggegenskapen för tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Molnenhetsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan aktivera, inaktivera och ta bort enheter i Microsoft Entra-ID och läsa Windows 10 BitLocker-nycklar (om de finns) i Azure Portal. Rollen beviljar inte behörighet att hantera andra egenskaper på enheten.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/deletedItems.devices/delete Ta bort enheter permanent, som inte längre kan återställas
microsoft.directory/deletedItems.devices/restore Återställa mjuka borttagna enheter till ursprungligt tillstånd
microsoft.directory/deviceLocalCredentials/password/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet
microsoft.directory/deviceManagementPolicies/basic/update Uppdatera grundläggande egenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
Ikon för privilegierad etikett.
microsoft.directory/deviceManagementPolicies/standard/read Läsa standardegenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
microsoft.directory/deviceRegistrationPolicy/basic/update Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper
Ikon för privilegierad etikett.
microsoft.directory/deviceRegistrationPolicy/standard/read Läsa standardegenskaper för enhetsregistreringsprinciper
microsoft.directory/devices/delete Ta bort enheter från Microsoft Entra-ID
microsoft.directory/devices/disable Inaktivera enheter i Microsoft Entra-ID
microsoft.directory/devices/enable Aktivera enheter i Microsoft Entra-ID
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365

Efterlevnadsadministratör

Användare med den här rollen har behörighet att hantera efterlevnadsrelaterade funktioner i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365, Azure och Microsoft 365 Defender-portalen. Tilldelare kan också hantera alla funktioner i administrationscentret för Exchange och skapa supportärenden för Azure och Microsoft 365. Mer information finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.

I Kan göra
Efterlevnadsportal i Microsoft Purview Skydda och hantera organisationens data i Microsoft 365-tjänster
Hantera efterlevnadsaviseringar
Microsoft Purview Compliance Manager Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter
Microsoft 365 Defender-portalen Hantera datastyrning
Utföra juridiska undersökningar och datautredningar
Hantera begäran från datasubjekt

Den här rollen har samma behörigheter som rollgruppen Efterlevnadsadministratör i rollbaserad åtkomstkontroll i Microsoft 365 Defender-portalen.
Intune Visa alla Intune-granskningsdata
Microsoft Defender for Cloud Apps Har skrivskyddade behörigheter och kan hantera aviseringar
Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder
Kan visa alla inbyggda rapporter under Datahantering
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/entitlementManagement/allProperties/read Läs alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.office365.complianceManager/allEntities/allTasks Hantera alla aspekter av Office 365 Efterlevnadshanteraren
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för efterlevnadsdata

Användare med den här rollen har behörighet att spåra data i efterlevnadsportal i Microsoft Purview, Administrationscenter för Microsoft 365 och Azure. Användare kan också spåra efterlevnadsdata i administrationscentret för Exchange, Efterlevnadshanteraren och Teams & Skype för företag administrationscenter och skapa supportärenden för Azure och Microsoft 365. Mer information om skillnaderna mellan efterlevnadsadministratör och efterlevnadsdataadministratör finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.

I Kan göra
Efterlevnadsportal i Microsoft Purview Övervaka efterlevnadsrelaterade principer i Microsoft 365-tjänster
Hantera efterlevnadsaviseringar
Microsoft Purview Compliance Manager Spåra, tilldela och verifiera organisationens regelefterlevnadsaktiviteter
Microsoft 365 Defender-portalen Hantera datastyrning
Utföra juridiska undersökningar och datautredningar
Hantera begäran från datasubjekt

Den här rollen har samma behörigheter som rollgruppen Administratör för efterlevnadsdata i rollbaserad åtkomstkontroll i Microsoft 365 Defender-portalen.
Intune Visa alla Intune-granskningsdata
Microsoft Defender for Cloud Apps Har skrivskyddade behörigheter och kan hantera aviseringar
Kan skapa och ändra filprinciper och tillåta filstyrningsåtgärder
Kan visa alla inbyggda rapporter under Datahantering
Åtgärder beskrivning
microsoft.azure.informationProtection/allEntities/allTasks Hantera alla aspekter av Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/cloudAppSecurity/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps
microsoft.office365.complianceManager/allEntities/allTasks Hantera alla aspekter av Office 365 Efterlevnadshanteraren
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för villkorsstyrd åtkomst

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har möjlighet att hantera inställningar för villkorsstyrd åtkomst i Microsoft Entra.

Åtgärder beskrivning
microsoft.directory/conditionalAccessPolicies/basic/update Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/create Skapa principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/delete Ta bort principer för villkorlig åtkomst
microsoft.directory/conditionalAccessPolicies/owners/read Läs ägarna till principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/owners/update Uppdatera ägare för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/standard/read Läs villkorsstyrd åtkomst för principer
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Uppdatera standardklientorganisationen för principer för villkorsstyrd åtkomst
microsoft.directory/namedLocations/basic/update Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/create Skapa anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/delete Ta bort anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC)
Ikon för privilegierad etikett.

Customer LockBox Access-godkännare

Hanterar Microsoft Purview-kundlåsbox-begäranden i din organisation. De får e-postaviseringar för Kundlåsbox-begäranden och kan godkänna och neka begäranden från Administrationscenter för Microsoft 365. De kan också aktivera eller inaktivera funktionen Customer Lockbox. Endast globala administratörer kan återställa lösenorden för personer som har tilldelats den här rollen.

Åtgärder beskrivning
microsoft.office365.lockbox/allEntities/allTasks Hantera alla aspekter av Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för Skrivbordsanalys

Användare i den här rollen kan hantera Desktop Analytics-tjänsten. Detta inkluderar möjligheten att visa tillgångsinventering, skapa distributionsplaner och visa distributions- och hälsostatus.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.desktopAnalytics/allEntities/allTasks Hantera alla aspekter av Desktop Analytics

Katalogläsare

Användare i den här rollen kan läsa grundläggande kataloginformation. Den här rollen bör användas för:

  • Bevilja en specifik uppsättning gästanvändare läsbehörighet i stället för att bevilja den till alla gästanvändare.
  • Bevilja en specifik uppsättning icke-administratörsanvändare åtkomst till Administrationscenter för Microsoft Entra när "Begränsa åtkomst till Administrationscenter för Microsoft Entra" är inställt på "Ja".
  • Bevilja tjänstens huvudnamn åtkomst till katalogen där Directory.Read.All inte är ett alternativ.
Åtgärder beskrivning
microsoft.directory/administrativeUnits/members/read Läs medlemmar i administrativa enheter
microsoft.directory/administrativeUnits/standard/read Läsa grundläggande egenskaper för administrativa enheter
microsoft.directory/applicationPolicies/standard/read Läsa standardegenskaper för programprinciper
microsoft.directory/applications/owners/read Läs ägare av program
microsoft.directory/applications/policies/read Läsa programprinciper
microsoft.directory/applications/standard/read Läsa standardegenskaper för program
microsoft.directory/contacts/memberOf/read Läs gruppmedlemskapet för alla kontakter i Microsoft Entra-ID
microsoft.directory/contacts/standard/read Läsa grundläggande egenskaper för kontakter i Microsoft Entra-ID
microsoft.directory/contracts/standard/read Läsa grundläggande egenskaper för partnerkontrakt
microsoft.directory/devices/memberOf/read Läsa enhetsmedlemskap
microsoft.directory/devices/registeredOwners/read Läsa registrerade ägare av enheter
microsoft.directory/devices/registeredUsers/read Läsa registrerade användare av enheter
microsoft.directory/devices/standard/read Läsa grundläggande egenskaper på enheter
microsoft.directory/directoryRoles/eligibleMembers/read Läs de berättigade medlemmarna i Microsoft Entra-roller
microsoft.directory/directoryRoles/members/read Läs alla medlemmar i Microsoft Entra-roller
microsoft.directory/directoryRoles/standard/read Läsa grundläggande egenskaper för Microsoft Entra-roller
microsoft.directory/domains/standard/read Läsa grundläggande egenskaper för domäner
microsoft.directory/groups/appRoleAssignments/read Läsa programrolltilldelningar för grupper
microsoft.directory/groupSettings/standard/read Läsa grundläggande egenskaper för gruppinställningar
microsoft.directory/groupSettingTemplates/standard/read Läsa grundläggande egenskaper för gruppinställningsmallar
microsoft.directory/groups/memberOf/read Läs egenskapen memberOf i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/read Läs medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups/owners/read Läs ägare av säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups/settings/read Läs inställningar för grupper
microsoft.directory/groups/standard/read Läs standardegenskaper för säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/oAuth2PermissionGrants/standard/read Läsa grundläggande egenskaper för OAuth 2.0-behörighetsbidrag
microsoft.directory/organization/standard/read Läsa grundläggande egenskaper i en organisation
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Läsa betrodda certifikatutfärdare för lösenordslös autentisering
microsoft.directory/roleAssignments/standard/read Läsa grundläggande egenskaper för rolltilldelningar
microsoft.directory/roleDefinitions/standard/read Läsa grundläggande egenskaper för rolldefinitioner
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Läsa rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/appRoleAssignments/read Läsa rolltilldelningar som tilldelats tjänstens huvudnamn
microsoft.directory/servicePrincipals/memberOf/read Läs gruppmedlemskapen i tjänstens huvudnamn
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Läs delegerade behörighetsbidrag för tjänstens huvudnamn
microsoft.directory/servicePrincipals/ownedObjects/read Läsa ägda objekt för tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/read Läs ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/read Läsa principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/standard/read Läsa grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/subscribedSkus/standard/read Läsa grundläggande egenskaper för prenumerationer
microsoft.directory/users/appRoleAssignments/read Läsa programrolltilldelningar för användare
microsoft.directory/users/deviceForResourceAccount/read Läsa deviceForResourceAccount för användare
microsoft.directory/users/directReports/read Läs direktrapporterna för användare
microsoft.directory/users/invitedBy/read Läs den användare som bjöd in en extern användare till en klientorganisation
microsoft.directory/users/licenseDetails/read Läs licensinformation för användare
microsoft.directory/users/manager/read Läs chef för användare
microsoft.directory/users/memberOf/read Läs gruppmedlemskap för användare
microsoft.directory/users/oAuth2PermissionGrants/read Läs delegerade behörighetsbidrag för användare
microsoft.directory/users/ownedDevices/read Läsa användares ägda enheter
microsoft.directory/users/ownedObjects/read Läsägda objekt för användare
microsoft.directory/users/photo/read Läs foto av användare
microsoft.directory/users/registeredDevices/read Läsa registrerade enheter för användare
microsoft.directory/users/scopedRoleMemberOf/read Läs användarens medlemskap i en Microsoft Entra-roll, som är begränsad till en administrativ enhet
microsoft.directory/users/sponsors/read Läsa sponsorer av användare
microsoft.directory/users/standard/read Läsa grundläggande egenskaper för användare

Katalogsynkroniseringskonton

Använd inte. Den här rollen tilldelas automatiskt till Microsoft Entra Connect-tjänsten och är inte avsedd eller stöds inte för någon annan användning.

Åtgärder beskrivning
microsoft.directory/onPremisesSynchronization/standard/read Läsa och hantera objekt för att aktivera lokal katalogsynkronisering

Katalogförfattare

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan läsa och uppdatera grundläggande information om användare, grupper och tjänstens huvudnamn.

Åtgärder beskrivning
microsoft.directory/applications/extensionProperties/update Uppdatera tilläggsegenskaper för program
microsoft.directory/contacts/create Skapa kontakter
microsoft.directory/groups/assignLicense Tilldela produktlicenser till grupper för gruppbaserad licensiering
microsoft.directory/groups/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/classification/update Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/create Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/dynamicMembershipRule/update Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groupSettings/basic/update Uppdatera grundläggande egenskaper för gruppinställningar
microsoft.directory/groupSettings/create Skapa gruppinställningar
microsoft.directory/groupSettings/delete Ta bort gruppinställningar
microsoft.directory/groups/groupType/update Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/onPremWriteBack/update Uppdatera Microsoft Entra-grupper som ska skrivas tillbaka till lokalt med Microsoft Entra Connect
microsoft.directory/groups/owners/update Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/reprocessLicenseAssignment Bearbeta om licenstilldelningar för gruppbaserad licensiering
microsoft.directory/groups/settings/update Uppdatera inställningar för grupper
microsoft.directory/groups/visibility/update Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/oAuth2PermissionGrants/basic/update Uppdatera OAuth 2.0-behörighetsbidrag
Ikon för privilegierad etikett.
microsoft.directory/oAuth2PermissionGrants/create Skapa OAuth 2.0-behörighetsbidrag
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Hantera molnklientorganisationen till molnklientprogrammets etableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Starta, starta om och pausa molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Skapa och hantera molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb och schema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Hantera programetableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/users/assignLicense Hantera användarlicenser
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/create Lägg till användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/inviteGuest Bjud in gästanvändare
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/photo/update Uppdatera foto av användare
microsoft.directory/users/reprocessLicenseAssignment Bearbeta om licenstilldelningar för användare
microsoft.directory/users/sponsors/update Uppdatera sponsorer för användare
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.

Domännamnsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen kan hantera (läsa, lägga till, verifiera, uppdatera och ta bort) domännamn. De kan också läsa kataloginformation om användare, grupper och program, eftersom dessa objekt har domänberoenden. För lokala miljöer kan användare med den här rollen konfigurera domännamn för federation så att associerade användare alltid autentiseras lokalt. Dessa användare kan sedan logga in på Microsoft Entra-baserade tjänster med sina lokala lösenord via enkel inloggning. Federationsinställningar måste synkroniseras via Microsoft Entra Connect, så användarna har också behörighet att hantera Microsoft Entra Connect.

Åtgärder beskrivning
microsoft.directory/domains/allProperties/allTasks Skapa och ta bort domäner och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Dynamics 365-administratör

Användare med den här rollen har globala behörigheter inom Microsoft Dynamics 365 Online, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Använda tjänstadministratörsroller för att hantera din klientorganisation.

Kommentar

I Microsoft Graph API och Microsoft Graph PowerShell får den här rollen namnet Dynamics 365-tjänstadministratör. I Azure Portal heter den Dynamics 365-administratör.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.dynamics365/allEntities/allTasks Hantera alla aspekter av Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Dynamics 365 Business Central-administratör

Tilldela rollen Dynamics 365 Business Central-administratör till användare som behöver utföra följande uppgifter:

  • Åtkomst till Dynamics 365 Business Central-miljöer
  • Utföra alla administrativa uppgifter i miljöer
  • Hantera livscykeln för kundens miljöer
  • Övervaka tilläggen som är installerade i miljöer
  • Kontrollera uppgraderingar av miljöer
  • Utföra dataexport av miljöer
  • Läsa och konfigurera azure- och Microsoft 365-tjänsthälsoinstrumentpaneler

Den här rollen ger inga behörigheter för andra Dynamics 365-produkter.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/domains/standard/read Läsa grundläggande egenskaper för domäner
microsoft.directory/organization/standard/read Läsa grundläggande egenskaper i en organisation
microsoft.directory/subscribedSkus/standard/read Läsa grundläggande egenskaper för prenumerationer
microsoft.directory/users/standard/read Läsa grundläggande egenskaper för användare
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Hantera alla aspekter av Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Edge-administratör

Användare i den här rollen kan skapa och hantera företagswebbplatslistan som krävs för Internet Explorer-läge på Microsoft Edge. Den här rollen ger behörighet att skapa, redigera och publicera webbplatslistan och dessutom ge åtkomst till att hantera supportärenden. Läs mer

Åtgärder beskrivning
microsoft.edge/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Exchange-administratör

Användare med den här rollen har globala behörigheter i Microsoft Exchange Online när tjänsten finns. Har också möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.

Kommentar

I Microsoft Graph API och Microsoft Graph PowerShell får den här rollen namnet Exchange Service Administrator. I Azure Portal heter den Exchange-administratör. I administrationscentret för Exchange heter det Exchange Online-administratör.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Skapa och hantera Exchange Online-skyddsprincip i Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Läsa och konfigurera återställningssession för Exchange Online i Microsoft 365 Backup
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Hantera alla återställningspunkter som är associerade med valda Exchange Online-postlådor i M365 Backup
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Hantera postlådor som lagts till i Exchange Online-skyddsprincip i Microsoft 365 Backup
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Hantera postlådor som lagts till i återställningssessionen för Exchange Online i Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/basic/update Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/create Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/delete Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/members/update Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/owners/update Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/restore Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper
microsoft.office365.exchange/allEntities/basic/allTasks Hantera alla aspekter av Exchange Online
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Exchange-mottagaradministratör

Användare med den här rollen har läsåtkomst till mottagare och skrivåtkomst till attributen för dessa mottagare i Exchange Online. Mer information finns i Mottagare i Exchange Server.

Åtgärder beskrivning
microsoft.office365.exchange/migration/allProperties/allTasks Hantera alla uppgifter som rör migrering av mottagare i Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks Skapa och ta bort alla mottagare och läs och uppdatera alla egenskaper för mottagare i Exchange Online

Administratör för externt ID-användarflöde

Användare med den här rollen kan skapa och hantera användarflöden (kallas även "inbyggda" principer) i Azure Portal. Dessa användare kan anpassa HTML/CSS/JavaScript-innehåll, ändra MFA-krav, välja anspråk i token, hantera API-anslutningsappar och deras autentiseringsuppgifter och konfigurera sessionsinställningar för alla användarflöden i Microsoft Entra-organisationen. Å andra sidan innehåller den här rollen inte möjligheten att granska användardata eller göra ändringar i de attribut som ingår i organisationsschemat. Ändringar av Identity Experience Framework-principer (även kallade anpassade principer) ligger också utanför omfånget för den här rollen.

Åtgärder beskrivning
microsoft.directory/b2cUserFlow/allProperties/allTasks Läsa och konfigurera användarflöde i Azure Active Directory B2C

Administratör för användarflödesattribut för externt ID

Användare med den här rollen lägger till eller tar bort anpassade attribut som är tillgängliga för alla användarflöden i Microsoft Entra-organisationen. Därför kan användare med den här rollen ändra eller lägga till nya element i slutanvändarschemat och påverka beteendet för alla användarflöden och indirekt resultera i ändringar i vilka data som kan efterfrågas av slutanvändare och slutligen skickas som anspråk till program. Den här rollen kan inte redigera användarflöden.

Åtgärder beskrivning
microsoft.directory/b2cUserAttribute/allProperties/allTasks Läsa och konfigurera användarattribut i Azure Active Directory B2C

Administratör för extern identitetsprovider

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Den här administratören hanterar federation mellan Microsoft Entra-organisationer och externa identitetsprovidrar. Med den här rollen kan användare lägga till nya identitetsprovidrar och konfigurera alla tillgängliga inställningar (t.ex. autentiseringssökväg, tjänst-ID, tilldelade nyckelcontainrar). Den här användaren kan göra det möjligt för Microsoft Entra-organisationen att lita på autentiseringar från externa identitetsprovidrar. Den resulterande effekten på slutanvändarupplevelser beror på typen av organisation:

  • Microsoft Entra-organisationer för anställda och partner: Tillägget av en federation (t.ex. med Gmail) påverkar omedelbart alla gästinbjudningar som ännu inte har lösts in. Se Lägga till Google som identitetsprovider för B2B-gästanvändare.
  • Azure Active Directory B2C-organisationer: Tillägget av en federation (till exempel med Facebook eller med en annan Microsoft Entra-organisation) påverkar inte omedelbart slutanvändarflöden förrän identitetsprovidern har lagts till som ett alternativ i ett användarflöde (kallas även en inbyggd princip). Ett exempel finns i Konfigurera ett Microsoft-konto som identitetsprovider . För att ändra användarflöden krävs den begränsade rollen "B2C User Flow Administrator".
Åtgärder beskrivning
microsoft.directory/domains/federation/update Uppdatera federationsegenskapen för domäner
Ikon för privilegierad etikett.
microsoft.directory/identityProviders/allProperties/allTasks Läsa och konfigurera identitetsprovidrar i Azure Active Directory B2C
Ikon för privilegierad etikett.

Infrastrukturadministratör

Användare med den här rollen har globala behörigheter inom Microsoft Fabric och Power BI, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Mer information finns i Förstå administratörsroller för infrastrukturresurser.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Hantera alla aspekter av Infrastrukturresurser och Power BI

Global administratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har åtkomst till alla administrativa funktioner i Microsoft Entra-ID samt tjänster som använder Microsoft Entra-identiteter som Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview, Exchange Online, SharePoint Online och Skype för företag Online. Globala administratörer kan visa katalogaktivitetsloggar. Dessutom kan globala administratörer öka sin åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper. På så sätt kan globala administratörer få fullständig åtkomst till alla Azure-resurser med hjälp av respektive Microsoft Entra-klientorganisation. Den person som registrerar sig för Microsoft Entra-organisationen blir global administratör. Det kan finnas fler än en global administratör på företaget. Globala administratörer kan återställa lösenordet för alla användare och alla andra administratörer. En global administratör kan inte ta bort sin egen globala administratörstilldelning. Detta för att förhindra en situation där en organisation inte har några globala administratörer.

Kommentar

Som bästa praxis rekommenderar Microsoft att du tilldelar rollen Global administratör till färre än fem personer i din organisation. Mer information finns i Metodtips för Microsoft Entra-roller.

Åtgärder beskrivning
microsoft.azure.advancedThreatProtection/allEntities/allTasks Hantera alla aspekter av Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Hantera alla aspekter av Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.backup/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft 365 Backup
microsoft.cloudPC/allEntities/allProperties/allTasks Hantera alla aspekter av Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Hantera alla aspekter av Office 365-fakturering
microsoft.commerce.billing/purchases/standard/read Läs köptjänster i administrationscentret för M365.
microsoft.directory/accessReviews/allProperties/allTasks (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Microsoft Entra-ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Hantera åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Hantera principer för begäran om administratörsmedgivande i Microsoft Entra-ID
microsoft.directory/administrativeUnits/allProperties/allTasks Skapa och hantera administrativa enheter (inklusive medlemmar)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID
microsoft.directory/applications/allProperties/allTasks Skapa och ta bort program och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/applicationTemplates/instantiate Instansiera galleriprogram från programmallar
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/allProperties/allTasks Hantera alla aspekter av auktoriseringsprincip
Ikon för privilegierad etikett.
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Hantera alla egenskaper för principer för villkorsstyrd åtkomst
microsoft.directory/connectorGroups/allProperties/read Läs alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/allProperties/update Uppdatera alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/create Skapa privata nätverksanslutningsgrupper
microsoft.directory/connectorGroups/delete Ta bort privata nätverksanslutningsgrupper
microsoft.directory/connectors/allProperties/read Läs alla egenskaper för privata nätverksanslutningar
microsoft.directory/connectors/create Skapa privata nätverksanslutningar
microsoft.directory/contacts/allProperties/allTasks Skapa och ta bort kontakter och läsa och uppdatera alla egenskaper
microsoft.directory/contracts/allProperties/allTasks Skapa och ta bort partnerkontrakt och läsa och uppdatera alla egenskaper
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/basic/update Uppdatera grundläggande inställningar för åtkomstprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Uppdatera Microsoft Entra B2B-direktanslutningsinställningarna för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/standard/read Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Uppdatera klientbegränsningar för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/create Skapa åtkomstprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Ta bort åtkomstprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Uppdatera grundläggande inställningar för synkroniseringsprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Skapa synkroniseringsprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Uppdatera principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Återställ principmallen för synkronisering mellan klientorganisationer för flera klientorganisationer till standardinställningarna
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Uppdatera principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Återställ principmallen för åtkomst mellan klientorganisationer för flera klientorganisationer till standardinställningarna
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Skapa och hantera anpassade autentiseringstillägg
Ikon för privilegierad etikett.
microsoft.directory/deletedItems/delete Ta bort objekt permanent, som inte längre kan återställas
microsoft.directory/deletedItems/restore Återställa mjukt borttagna objekt till ursprungligt tillstånd
microsoft.directory/deviceLocalCredentials/password/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet
microsoft.directory/deviceManagementPolicies/basic/update Uppdatera grundläggande egenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
Ikon för privilegierad etikett.
microsoft.directory/deviceManagementPolicies/standard/read Läsa standardegenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
microsoft.directory/deviceRegistrationPolicy/basic/update Uppdatera grundläggande egenskaper för enhetsregistreringsprinciper
Ikon för privilegierad etikett.
microsoft.directory/deviceRegistrationPolicy/standard/read Läsa standardegenskaper för enhetsregistreringsprinciper
microsoft.directory/devices/allProperties/allTasks Skapa och ta bort enheter och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/directoryRoles/allProperties/allTasks Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Skapa och ta bort Microsoft Entra-rollmallar och läsa och uppdatera alla egenskaper
microsoft.directory/domains/allProperties/allTasks Skapa och ta bort domäner och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/domains/federationConfiguration/basic/update Uppdatera grundläggande federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/create Skapa federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/delete Ta bort federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/standard/read Läsa standardegenskaper för federationskonfiguration för domäner
microsoft.directory/entitlementManagement/allProperties/allTasks Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/externalUserProfiles/basic/update Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/externalUserProfiles/delete Ta bort externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/externalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/groups/allProperties/allTasks Skapa och ta bort grupper och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/groupsAssignableToRoles/allProperties/update Uppdatera rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/assignLicense Tilldela en licens till rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/create Skapa rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/delete Ta bort rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Bearbeta om licenstilldelningar till rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/restore Återställa rolltilldelningsbara grupper
microsoft.directory/groupSettings/allProperties/allTasks Skapa och ta bort gruppinställningar och läsa och uppdatera alla egenskaper
microsoft.directory/groupSettingTemplates/allProperties/allTasks Skapa och ta bort gruppinställningsmallar och läsa och uppdatera alla egenskaper
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hantera hybridautentiseringsprincip i Microsoft Entra-ID
Ikon för privilegierad etikett.
microsoft.directory/identityProtection/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Entra ID Protection
Ikon för privilegierad etikett.
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Hantera alla aspekter av livscykelarbetsflöden och uppgifter i Microsoft Entra-ID
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Skapa och ta bort loginTenantBranding och läs och uppdatera alla egenskaper
microsoft.directory/multiTenantOrganization/basic/update Uppdatera grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/create Skapa en organisation för flera klientorganisationer
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Ansluta till en organisation för flera klientorganisationer
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer
microsoft.directory/multiTenantOrganization/standard/read Läsa grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/create Skapa en klientorganisation i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/delete Ta bort en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Uppdatera grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/standard/read Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/namedLocations/basic/update Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/create Skapa anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/delete Ta bort anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/onPremisesSynchronization/basic/update Uppdatera grundläggande information om lokal katalogsynkronisering
microsoft.directory/onPremisesSynchronization/standard/read Läsa standardinformation om lokal katalogsynkronisering
microsoft.directory/organization/allProperties/allTasks Läsa och uppdatera alla egenskaper för en organisation
microsoft.directory/passwordHashSync/allProperties/allTasks Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Microsoft Entra-ID
microsoft.directory/pendingExternalUserProfiles/basic/update Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/create Skapa externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/delete Ta bort externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/permissionGrantPolicies/basic/update Uppdatera grundläggande egenskaper för behörighetsgivningsprinciper
microsoft.directory/permissionGrantPolicies/create Skapa principer för beviljande av behörigheter
microsoft.directory/permissionGrantPolicies/delete Ta bort behörighetsgivningsprinciper
microsoft.directory/permissionGrantPolicies/standard/read Läsa standardegenskaper för behörighetsgivningsprinciper
microsoft.directory/policies/allProperties/allTasks Skapa och ta bort principer och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/privilegedIdentityManagement/allProperties/read Läs alla resurser i Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC)
Ikon för privilegierad etikett.
microsoft.directory/roleAssignments/allProperties/allTasks Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper
microsoft.directory/roleDefinitions/allProperties/allTasks Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper
microsoft.directory/serviceAction/activateService Kan utföra åtgärden "aktivera tjänst" för en tjänst
microsoft.directory/serviceAction/disableDirectoryFeature Kan utföra tjänståtgärden "inaktivera katalogfunktion"
microsoft.directory/serviceAction/enableDirectoryFeature Kan utföra tjänståtgärden "aktivera katalogfunktion"
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan utföra åtgärden getAvailableExtentionProperties-tjänsten
microsoft.directory/servicePrincipalCreationPolicies/basic/update Uppdatera grundläggande egenskaper för principer för att skapa tjänstens huvudnamn
microsoft.directory/servicePrincipalCreationPolicies/create Skapa principer för att skapa tjänstens huvudnamn
microsoft.directory/servicePrincipalCreationPolicies/delete Ta bort principer för att skapa tjänstens huvudnamn
microsoft.directory/servicePrincipalCreationPolicies/standard/read Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn
microsoft.directory/servicePrincipals/allProperties/allTasks Skapa och ta bort tjänstens huvudnamn och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Bevilja medgivande för alla behörigheter till alla program
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Hantera molnklientorganisationen till molnklientprogrammets etableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Starta, starta om och pausa molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Skapa och hantera molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb och schema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Hantera programetableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering.
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.directory/subscribedSkus/allProperties/allTasks Köpa och hantera prenumerationer och ta bort prenumerationer
microsoft.directory/tenantManagement/tenants/create Skapa nya klienter i Microsoft Entra-ID
microsoft.directory/users/allProperties/allTasks Skapa och ta bort användare och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/basic/update Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/create Uppdatera autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/delete Ta bort autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/standard/read Läsa standardegenskaper för autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/convertExternalToInternalMemberUser Konvertera extern användare till intern användare
microsoft.directory/verifiableCredentials/configuration/allProperties/read Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/allProperties/update Uppdateringskonfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Läsa ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Uppdatera ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Läsa ett verifierbart autentiseringskort
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Återkalla ett verifierbart autentiseringskort
microsoft.directory/verifiableCredentials/configuration/contracts/create Skapa ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/create Skapa konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/delete Ta bort konfigurationen som krävs för att skapa och hantera verifierbara autentiseringsuppgifter och ta bort alla dess verifierbara autentiseringsuppgifter
microsoft.dynamics365/allEntities/allTasks Hantera alla aspekter av Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Edge
microsoft.flow/allEntities/allTasks Hantera alla aspekter av Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Hantera aspekter av Microsoft Graph-dataanslutning
microsoft.hardware.support/shippingAddress/allProperties/allTasks Skapa, läsa, uppdatera och ta bort leveransadresser för Microsofts maskinvarugarantianspråk, inklusive leveransadresser som skapats av andra
microsoft.hardware.support/shippingStatus/allProperties/read Läs leveransstatus för öppna microsofts maskinvarugarantianspråk
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Skapa och hantera alla aspekter av Microsofts maskinvarugarantianspråk
microsoft.insights/allEntities/allProperties/allTasks Hantera alla aspekter av Insights-appen
microsoft.intune/allEntities/allTasks Hantera alla aspekter av Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Entra-nätverksåtkomst
microsoft.office365.complianceManager/allEntities/allTasks Hantera alla aspekter av Office 365 Efterlevnadshanteraren
microsoft.office365.desktopAnalytics/allEntities/allTasks Hantera alla aspekter av Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Hantera alla aspekter av Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Hantera alla aspekter av SharePoint Embedded-containrar
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Läsa analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Läsa och uppdatera alla egenskaper för kunskapsnätverket i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Hantera utbildningskällor och alla deras egenskaper i utbildningsappen.
microsoft.office365.lockbox/allEntities/allTasks Hantera alla aspekter av Customer Lockbox
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.messageCenter/securityMessages/read Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft 365-migreringar
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Hantera alla redigeringsaspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Hantera alla aspekter av säkerhets- och efterlevnadscenter
microsoft.office365.search/content/manage Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Office 365 Säkerhets- och efterlevnadscenter
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.userCommunication/allEntities/allTasks Läsa och uppdatera synligheten för nya meddelanden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Hantera alla aspekter av Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Entra – behörighetshantering
microsoft.powerApps/allEntities/allTasks Hantera alla aspekter av Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Hantera alla aspekter av Infrastrukturresurser och Power BI
microsoft.teams/allEntities/allProperties/allTasks Hantera alla resurser i Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök
microsoft.viva.goals/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Viva-mål
microsoft.viva.pulse/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Hantera alla aspekter av Microsoft Defender för Endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Läsa och konfigurera alla aspekter av Windows Update Service

Global läsare

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan läsa inställningar och administrativ information i Microsoft 365-tjänster men kan inte vidta hanteringsåtgärder. Global läsare är den skrivskyddade motsvarigheten till global administratör. Tilldela global läsare i stället för global administratör för planering, granskningar eller undersökningar. Använd Global läsare i kombination med andra begränsade administratörsroller som Exchange-administratör för att göra det enklare att få jobbet gjort utan att tilldela rollen Global administratör. Global Läsare fungerar med Administrationscenter för Microsoft 365, Administrationscenter för Exchange, Administrationscenter för SharePoint, Administrationscenter för Teams, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview, Azure Portal och Enhetshantering administrationscenter.

Användare med den här rollen kan inte göra följande:

  • Det går inte att komma åt området Köptjänster i Administrationscenter för Microsoft 365.

Kommentar

Rollen Global läsare har följande begränsningar:

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.backup/allEntities/allProperties/read Läs alla aspekter av Microsoft 365 Backup
microsoft.cloudPC/allEntities/allProperties/read Läs alla aspekter av Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Läs alla resurser för Office 365-fakturering
microsoft.commerce.billing/purchases/standard/read Läs köptjänster i administrationscentret för M365.
microsoft.directory/accessReviews/allProperties/read (Inaktuell) Läs alla egenskaper för åtkomstgranskningar
microsoft.directory/accessReviews/definitions/allProperties/read Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Läs alla egenskaper för principer för begäran om administratörsmedgivande i Microsoft Entra-ID
microsoft.directory/administrativeUnits/allProperties/read Läs alla egenskaper för administrativa enheter, inklusive medlemmar
microsoft.directory/appConsent/appConsentRequests/allProperties/read Läs alla egenskaper för medgivandebegäranden för program som registrerats med Microsoft Entra-ID
microsoft.directory/applications/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) för alla typer av program
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/cloudAppSecurity/allProperties/read Läs alla egenskaper för Defender för molnet-appar
microsoft.directory/conditionalAccessPolicies/allProperties/read Läs alla egenskaper för principer för villkorsstyrd åtkomst
microsoft.directory/connectorGroups/allProperties/read Läs alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectors/allProperties/read Läs alla egenskaper för privata nätverksanslutningar
microsoft.directory/contacts/allProperties/read Läsa alla egenskaper för kontakter
microsoft.directory/crossTenantAccessPolicy/default/standard/read Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer
microsoft.directory/customAuthenticationExtensions/allProperties/read Läsa anpassade autentiseringstillägg
microsoft.directory/deviceLocalCredentials/standard/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet
microsoft.directory/deviceManagementPolicies/standard/read Läsa standardegenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
microsoft.directory/deviceRegistrationPolicy/standard/read Läsa standardegenskaper för enhetsregistreringsprinciper
microsoft.directory/devices/allProperties/read Läs alla enhetsegenskaper
microsoft.directory/directoryRoles/allProperties/read Läsa alla egenskaper för katalogroller
microsoft.directory/directoryRoleTemplates/allProperties/read Läs alla egenskaper för katalogrollmallar
microsoft.directory/domains/allProperties/read Läsa alla egenskaper för domäner
microsoft.directory/domains/federationConfiguration/standard/read Läsa standardegenskaper för federationskonfiguration för domäner
microsoft.directory/entitlementManagement/allProperties/read Läs alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/externalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/groups/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groupSettings/allProperties/read Läs alla egenskaper för gruppinställningar
microsoft.directory/groupSettingTemplates/allProperties/read Läs alla egenskaper för gruppinställningsmallar
microsoft.directory/identityProtection/allProperties/read Läs alla resurser i Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Läs alla egenskaper för livscykelarbetsflöden och uppgifter i Microsoft Entra-ID
microsoft.directory/loginOrganizationBranding/allProperties/read Läs alla egenskaper för organisationens varumärkesbaserade inloggningssida
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer
microsoft.directory/multiTenantOrganization/standard/read Läsa grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/standard/read Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/oAuth2PermissionGrants/allProperties/read Läs alla egenskaper för OAuth 2.0-behörighetsbidrag
microsoft.directory/organization/allProperties/read Läsa alla egenskaper för en organisation
microsoft.directory/pendingExternalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/permissionGrantPolicies/standard/read Läsa standardegenskaper för behörighetsgivningsprinciper
microsoft.directory/policies/allProperties/read Läs alla principegenskaper
microsoft.directory/privilegedIdentityManagement/allProperties/read Läs alla resurser i Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/roleAssignments/allProperties/read Läs alla egenskaper för rolltilldelningar
microsoft.directory/roleDefinitions/allProperties/read Läsa alla egenskaper för rolldefinitioner
microsoft.directory/scopedRoleMemberships/allProperties/read Visa medlemmar i administrativa enheter
microsoft.directory/serviceAction/getAvailableExtentionProperties Kan utföra åtgärden getAvailableExtentionProperties-tjänsten
microsoft.directory/servicePrincipalCreationPolicies/standard/read Läsa standardegenskaper för principer för att skapa tjänstens huvudnamn
microsoft.directory/servicePrincipals/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.directory/subscribedSkus/allProperties/read Läs alla egenskaper för produktprenumerationer
microsoft.directory/users/allProperties/read Läs alla egenskaper för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Läs standardegenskaper för autentiseringsmetoder som inte innehåller personligt identifierbar information för användare
microsoft.directory/verifiableCredentials/configuration/allProperties/read Läs konfiguration som krävs för att skapa och hantera verifierbara autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Läsa ett verifierbart kontrakt för autentiseringsuppgifter
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Läsa ett verifierbart autentiseringskort
microsoft.edge/allEntities/allProperties/read Läs alla aspekter av Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Läs aspekter av Microsoft Graph-dataanslutning
microsoft.hardware.support/shippingAddress/allProperties/read Läs leveransadresser för Microsofts maskinvarugarantianspråk, inklusive befintliga leveransadresser som skapats av andra
microsoft.hardware.support/shippingStatus/allProperties/read Läs leveransstatus för öppna microsofts maskinvarugarantianspråk
microsoft.hardware.support/warrantyClaims/allProperties/read Läs microsofts garantianspråk för maskinvara
microsoft.insights/allEntities/allProperties/read Läs alla aspekter av Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Läs alla aspekter av Microsoft Entra-nätverksåtkomst
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Läsa entiteter och behörigheter för SharePoint Embedded-containrar
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.messageCenter/securityMessages/read Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Läs alla aspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.protectionCenter/allEntities/allProperties/read Läs alla egenskaper i säkerhets- och efterlevnadscenter
microsoft.office365.securityComplianceCenter/allEntities/read Läsa standardegenskaper i Microsoft 365 Security and Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Läs alla aspekter av Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Läs alla aspekter av Microsoft Entra – behörighetshantering
microsoft.teams/allEntities/allProperties/read Läs alla egenskaper för Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Läs alla aspekter av virtuella besök
microsoft.viva.goals/allEntities/allProperties/read Läs alla aspekter av Microsoft Viva-mål
microsoft.viva.pulse/allEntities/allProperties/read Läs alla aspekter av Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Läs alla aspekter av Windows Update Service

Global administratör för säker åtkomst

Tilldela rollen Global administratör för säker åtkomst till användare som behöver göra följande:

  • Skapa och hantera alla aspekter av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst
  • Hantera åtkomst till offentliga och privata slutpunkter

Användare med den här rollen kan inte göra följande:

  • Det går inte att hantera företagsprogram, programregistreringar, villkorlig åtkomst eller proxyinställningar för program

Läs mer

Åtgärder beskrivning
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/applicationPolicies/standard/read Läsa standardegenskaper för programprinciper
microsoft.directory/applications/applicationProxy/read Läs alla egenskaper för programproxy
microsoft.directory/applications/owners/read Läs ägare av program
microsoft.directory/applications/policies/read Läsa programprinciper
microsoft.directory/applications/standard/read Läsa standardegenskaper för program
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/conditionalAccessPolicies/standard/read Läs villkorsstyrd åtkomst för principer
microsoft.directory/connectorGroups/allProperties/read Läs alla egenskaper för privata nätverksanslutningsgrupper
microsoft.directory/connectors/allProperties/read Läs alla egenskaper för privata nätverksanslutningar
microsoft.directory/crossTenantAccessPolicy/default/standard/read Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.networkAccess/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Entra-nätverksåtkomst
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Gruppadministratör

Användare i den här rollen kan skapa/hantera grupper och dess inställningar som namngivnings- och förfalloprinciper. Det är viktigt att förstå att tilldela en användare till den här rollen ger dem möjlighet att hantera alla grupper i organisationen över olika arbetsbelastningar som Teams, SharePoint och Yammer utöver Outlook. Användaren kommer också att kunna hantera de olika gruppernas inställningar i olika administratörsportaler som Microsofts administrationscenter, Azure Portal och arbetsbelastningsspecifika som Teams- och SharePoint-administrationscenter.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/deletedItems.groups/delete Ta bort grupper permanent, som inte längre kan återställas
microsoft.directory/deletedItems.groups/restore Återställa mjukt borttagna grupper till ursprungligt tillstånd
microsoft.directory/groups/assignLicense Tilldela produktlicenser till grupper för gruppbaserad licensiering
microsoft.directory/groups/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/classification/update Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/create Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/delete Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/dynamicMembershipRule/update Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/groupType/update Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/onPremWriteBack/update Uppdatera Microsoft Entra-grupper som ska skrivas tillbaka till lokalt med Microsoft Entra Connect
microsoft.directory/groups/owners/update Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/reprocessLicenseAssignment Bearbeta om licenstilldelningar för gruppbaserad licensiering
microsoft.directory/groups/restore Återställa grupper från en container med mjuk borttagning
microsoft.directory/groups/settings/update Uppdatera inställningar för grupper
microsoft.directory/groups/visibility/update Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Gäst inbjudare

Användare i den här rollen kan hantera inbjudningar till Microsoft Entra B2B-gästanvändare när inställningen Medlemmar kan bjuda in användare är inställd på Nej. Mer information om B2B-samarbete finns i Om Microsoft Entra B2B-samarbete. Den innehåller inga andra behörigheter.

Åtgärder beskrivning
microsoft.directory/users/appRoleAssignments/read Läsa programrolltilldelningar för användare
microsoft.directory/users/deviceForResourceAccount/read Läsa deviceForResourceAccount för användare
microsoft.directory/users/directReports/read Läs direktrapporterna för användare
microsoft.directory/users/invitedBy/read Läs den användare som bjöd in en extern användare till en klientorganisation
microsoft.directory/users/inviteGuest Bjud in gästanvändare
microsoft.directory/users/licenseDetails/read Läs licensinformation för användare
microsoft.directory/users/manager/read Läs chef för användare
microsoft.directory/users/memberOf/read Läs gruppmedlemskap för användare
microsoft.directory/users/oAuth2PermissionGrants/read Läs delegerade behörighetsbidrag för användare
microsoft.directory/users/ownedDevices/read Läsa användares ägda enheter
microsoft.directory/users/ownedObjects/read Läsägda objekt för användare
microsoft.directory/users/photo/read Läs foto av användare
microsoft.directory/users/registeredDevices/read Läsa registrerade enheter för användare
microsoft.directory/users/scopedRoleMemberOf/read Läs användarens medlemskap i en Microsoft Entra-roll, som är begränsad till en administrativ enhet
microsoft.directory/users/sponsors/read Läsa sponsorer av användare
microsoft.directory/users/standard/read Läsa grundläggande egenskaper för användare

Supportadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen kan ändra lösenord, ogiltigförklara uppdateringstoken, skapa och hantera supportförfrågningar med Microsoft för Azure- och Microsoft 365-tjänster och övervaka tjänstens hälsa. Om en uppdateringstoken ogiltigförklaras tvingar det användaren att logga in igen. Om en supportadministratör kan återställa en användares lösenord och ogiltigförklara uppdateringstoken beror på vilken roll användaren har tilldelats. En lista över de roller som en supportadministratör kan återställa lösenord för och ogiltigförklara uppdateringstoken finns i Vem kan återställa lösenord.

Användare med den här rollen kan inte göra följande:

  • Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.

Viktigt!

Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration inom och utanför Microsoft Entra-ID. Att ändra lösenordet för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:

  • Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte beviljas supportadministratörer. Genom den här sökvägen kan en supportadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
  • Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
  • Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
  • Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
  • Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.

Det går att delegera administrativa behörigheter över delmängder av användare och tillämpa principer på en delmängd av användarna med administrativa enheter.

Den här rollen hette tidigare lösenordsadministratör i Azure Portal. Den har bytt namn till Supportadministratör för att anpassa till det befintliga namnet i Microsoft Graph API och Microsoft Graph PowerShell.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/deviceLocalCredentials/standard/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Hybrididentitetsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare i den här rollen kan skapa, hantera och distribuera konfigurationskonfiguration från Active Directory till Microsoft Entra ID med cloud provisioning samt hantera Microsoft Entra Connect, direktautentisering (PTA), synkronisering av lösenordshash (PHS), sömlös enkel inloggning (sömlös enkel inloggning) och federationsinställningar. Har inte åtkomst till att hantera Microsoft Entra Connect Health. Användare kan också felsöka och övervaka loggar med hjälp av den här rollen.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/applications/appRoles/update Uppdatera egenskapen appRoles för alla typer av program
microsoft.directory/applications/audience/update Uppdatera målgruppsegenskapen för program
microsoft.directory/applications/authentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program
microsoft.directory/applications/create Skapa alla typer av program
microsoft.directory/applications/delete Ta bort alla typer av program
microsoft.directory/applications/notes/update Uppdatera anteckningar om program
microsoft.directory/applications/owners/update Uppdatera ägare av program
microsoft.directory/applications/permissions/update Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/applications/synchronization/standard/read Läsa etableringsinställningar som är associerade med programobjektet
microsoft.directory/applications/tag/update Uppdatera taggar för program
microsoft.directory/applicationTemplates/instantiate Instansiera galleriprogram från programmallar
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/cloudProvisioning/allProperties/allTasks Läsa och konfigurera alla egenskaper för Microsoft Entra-molnetableringstjänsten.
microsoft.directory/deletedItems.applications/delete Ta bort program permanent, som inte längre kan återställas
microsoft.directory/deletedItems.applications/restore Återställa mjukt borttagna program till ursprungligt tillstånd
microsoft.directory/domains/allProperties/read Läsa alla egenskaper för domäner
microsoft.directory/domains/federationConfiguration/basic/update Uppdatera grundläggande federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/create Skapa federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/delete Ta bort federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/standard/read Läsa standardegenskaper för federationskonfiguration för domäner
microsoft.directory/domains/federation/update Uppdatera federationsegenskapen för domäner
Ikon för privilegierad etikett.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Hantera hybridautentiseringsprincip i Microsoft Entra-ID
Ikon för privilegierad etikett.
microsoft.directory/onPremisesSynchronization/basic/update Uppdatera grundläggande information om lokal katalogsynkronisering
microsoft.directory/onPremisesSynchronization/standard/read Läsa standardinformation om lokal katalogsynkronisering
microsoft.directory/organization/dirSync/update Uppdatera egenskapen för katalogsynkronisering för organisationen
microsoft.directory/passwordHashSync/allProperties/allTasks Hantera alla aspekter av synkronisering av lösenordshash (PHS) i Microsoft Entra-ID
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/audience/update Uppdatera målgruppsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/authentication/update Uppdatera autentiseringsegenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för tjänstens huvudnamn
microsoft.directory/servicePrincipals/create Skapa tjänsthuvudnamn
microsoft.directory/servicePrincipals/delete Ta bort tjänstens huvudnamn
microsoft.directory/servicePrincipals/disable Inaktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/enable Aktivera tjänstens huvudnamn
microsoft.directory/servicePrincipals/notes/update Uppdatera anteckningar om tjänstens huvudnamn
microsoft.directory/servicePrincipals/owners/update Uppdatera ägare av tjänstens huvudnamn
microsoft.directory/servicePrincipals/permissions/update Uppdatera behörigheter för tjänstens huvudnamn
microsoft.directory/servicePrincipals/policies/update Uppdatera principer för tjänstens huvudnamn
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Hantera molnklientorganisationen till molnklientprogrammets etableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Starta, starta om och pausa molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Skapa och hantera molnklientorganisationen till molnklientprogrammets etableringssynkroniseringsjobb och schema.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Hantera programetableringshemligheter och autentiseringsuppgifter.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn
microsoft.directory/servicePrincipals/tag/update Uppdatera taggegenskapen för tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.directory/users/authorizationInfo/update Uppdatera användar-ID:t för flervärdescertifikat för användare
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för identitetsstyrning

Användare med den här rollen kan hantera Konfiguration av Styrning av Microsoft Entra-ID, inklusive åtkomstpaket, åtkomstgranskningar, kataloger och principer, säkerställa att åtkomst godkänns och granskas och gästanvändare som inte längre behöver åtkomst tas bort.

Åtgärder beskrivning
microsoft.directory/accessReviews/allProperties/allTasks (Inaktuell) Skapa och ta bort åtkomstgranskningar, läsa och uppdatera alla egenskaper för åtkomstgranskningar och hantera åtkomstgranskningar av grupper i Microsoft Entra-ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Hantera åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering
microsoft.directory/accessReviews/definitions.groups/allProperties/read Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper.
microsoft.directory/accessReviews/definitions.groups/create Skapa åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper.
microsoft.directory/accessReviews/definitions.groups/delete Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper.
microsoft.directory/entitlementManagement/allProperties/allTasks Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn

Insights-administratör

Användare i den här rollen kan komma åt alla administrativa funktioner i Microsoft Viva Insights-appen. Den här rollen har möjlighet att läsa kataloginformation, övervaka tjänstens hälsa, filsupportärenden och få åtkomst till inställningarna för Insights-administratören.

Läs mer

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.insights/allEntities/allProperties/allTasks Hantera alla aspekter av Insights-appen
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Insights-analytiker

Tilldela rollen Insights-analytiker till användare som behöver göra följande:

  • Analysera data i Microsoft Viva Insights-appen, men kan inte hantera några konfigurationsinställningar
  • Skapa, hantera och köra frågor
  • Visa grundläggande inställningar och rapporter i Administrationscenter för Microsoft 365
  • Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365

Läs mer

Åtgärder beskrivning
microsoft.insights/queries/allProperties/allTasks Köra och hantera frågor i Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Insights Business Leader

Användare i den här rollen kan komma åt en uppsättning instrumentpaneler och insikter via Microsoft Viva Insights-appen. Detta inkluderar fullständig åtkomst till alla instrumentpaneler och presenterade insikter och funktioner för datautforskning. Användare i den här rollen har inte åtkomst till produktkonfigurationsinställningar, vilket är ansvaret för rollen Insights-administratör.

Läs mer

Åtgärder beskrivning
microsoft.insights/programs/allProperties/update Distribuera och hantera program i Insights-appen
microsoft.insights/reports/allProperties/read Visa rapporter och instrumentpaneler i Insights-appen

Intune-administratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har globala behörigheter i Microsoft Intune Online när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper. Mer information finns i Rollbaserad administrationskontroll (RBAC) med Microsoft Intune.

Den här rollen kan skapa och hantera alla säkerhetsgrupper. Intune-administratören har dock inte administratörsbehörighet för Microsoft 365-grupper. Det innebär att administratören inte kan uppdatera ägare eller medlemskap för alla Microsoft 365-grupper i organisationen. Han/hon kan dock hantera den Microsoft 365-grupp som han skapar och som ingår i slutanvändarprivilegier. Därför bör alla Microsoft 365-grupper (inte säkerhetsgrupper) som han/hon skapar räknas mot sin kvot på 250.

Kommentar

I Microsoft Graph API och Microsoft Graph PowerShell får den här rollen namnet Intune-tjänstadministratör. I Azure Portal heter den Intune-administratör.

Åtgärder beskrivning
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.cloudPC/allEntities/allProperties/allTasks Hantera alla aspekter av Windows 365
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/contacts/basic/update Uppdatera grundläggande egenskaper för kontakter
microsoft.directory/contacts/create Skapa kontakter
microsoft.directory/contacts/delete Ta bort kontakter
microsoft.directory/deletedItems.devices/delete Ta bort enheter permanent, som inte längre kan återställas
microsoft.directory/deletedItems.devices/restore Återställa mjuka borttagna enheter till ursprungligt tillstånd
microsoft.directory/deviceLocalCredentials/password/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, inklusive lösenordet
microsoft.directory/deviceManagementPolicies/standard/read Läsa standardegenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
microsoft.directory/deviceRegistrationPolicy/standard/read Läsa standardegenskaper för enhetsregistreringsprinciper
microsoft.directory/devices/basic/update Uppdatera grundläggande egenskaper på enheter
microsoft.directory/devices/create Skapa enheter (registrera i Microsoft Entra-ID)
microsoft.directory/devices/delete Ta bort enheter från Microsoft Entra-ID
microsoft.directory/devices/disable Inaktivera enheter i Microsoft Entra-ID
microsoft.directory/devices/enable Aktivera enheter i Microsoft Entra-ID
microsoft.directory/devices/extensionAttributeSet1/update Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter
microsoft.directory/devices/extensionAttributeSet2/update Uppdatera tilläggetAttribute6 till egenskaperna extensionAttribute10 på enheter
microsoft.directory/devices/extensionAttributeSet3/update Uppdatera tilläggetAttribute11 till egenskaperna extensionAttribute15 på enheter
microsoft.directory/devices/registeredOwners/update Uppdatera registrerade ägare av enheter
microsoft.directory/devices/registeredUsers/update Uppdatera registrerade användare av enheter
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/classification/update Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/create Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/delete Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/dynamicMembershipRule/update Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/members/update Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/owners/update Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/visibility/update Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/photo/update Uppdatera foto av användare
microsoft.intune/allEntities/allTasks Hantera alla aspekter av Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Läs alla aspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Kaizala-administratör

Användare med den här rollen har globala behörigheter för att hantera inställningar i Microsoft Kaizala, när tjänsten finns, samt möjligheten att hantera supportärenden och övervaka tjänstens hälsa. Dessutom kan användaren komma åt rapporter som rör införande och användning av Kaizala av organisationsmedlemmar och affärsrapporter som genereras med hjälp av Kaizala-åtgärderna.

Åtgärder beskrivning
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Kunskapsadministratör

Användare i den här rollen har fullständig åtkomst till alla inställningar för kunskap, inlärning och intelligenta funktioner i Administrationscenter för Microsoft 365. De har en allmän förståelse för produktsviten, licensieringsinformation och har ansvar för att kontrollera åtkomsten. Kunskapsadministratör kan skapa och hantera innehåll, till exempel ämnen, förkortningar och utbildningsresurser. Dessutom kan dessa användare skapa innehållscentra, övervaka tjänstens hälsa och skapa tjänstbegäranden.

Åtgärder beskrivning
microsoft.directory/groups.security/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/create Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/createAsOwner Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare.
microsoft.directory/groups.security/delete Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/members/update Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/owners/update Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Läsa och uppdatera alla egenskaper för innehållstolkning i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Läsa och uppdatera alla egenskaper för kunskapsnätverket i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Hantera utbildningskällor och alla deras egenskaper i utbildningsappen.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Läs alla egenskaper för känslighetsetiketter i säkerhets- och efterlevnadscenter
microsoft.office365.sharePoint/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Kunskapshanteraren

Användare i den här rollen kan skapa och hantera innehåll, till exempel ämnen, förkortningar och inlärningsinnehåll. Dessa användare ansvarar främst för kunskapens kvalitet och struktur. Den här användaren har fullständig behörighet till ämneshanteringsåtgärder för att bekräfta ett ämne, godkänna ändringar eller ta bort ett ämne. Den här rollen kan också hantera taxonomier som en del av verktyget för hantering av termlagringsplatser och skapa innehållscentra.

Åtgärder beskrivning
microsoft.directory/groups.security/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/create Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/createAsOwner Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper. Skaparen läggs till som första ägare.
microsoft.directory/groups.security/delete Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/members/update Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/owners/update Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Läsa analysrapporter om innehållstolkning i Administrationscenter för Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Hantera ämnessynlighet för kunskapsnätverk i Administrationscenter för Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Licensadministratör

Användare i den här rollen kan läsa, lägga till, ta bort och uppdatera licenstilldelningar för användare, grupper (med gruppbaserad licensiering) och hantera användningsplatsen för användare. Rollen ger inte möjlighet att köpa eller hantera prenumerationer, skapa eller hantera grupper eller skapa eller hantera användare utanför användningsplatsen. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/groups/assignLicense Tilldela produktlicenser till grupper för gruppbaserad licensiering
microsoft.directory/groups/reprocessLicenseAssignment Bearbeta om licenstilldelningar för gruppbaserad licensiering
microsoft.directory/users/assignLicense Hantera användarlicenser
microsoft.directory/users/reprocessLicenseAssignment Bearbeta om licenstilldelningar för användare
microsoft.directory/users/usageLocation/update Uppdatera användarnas användningsplats
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för livscykelarbetsflöden

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Tilldela rollen Administratör för livscykelarbetsflöden till användare som behöver utföra följande uppgifter:

  • Skapa och hantera alla aspekter av arbetsflöden och uppgifter som är associerade med livscykelarbetsflöden i Microsoft Entra-ID
  • Kontrollera körningen av schemalagda arbetsflöden
  • Starta arbetsflödeskörningar på begäran
  • Granska arbetsflödets körningsloggar
Åtgärder beskrivning
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Hantera alla aspekter av livscykelarbetsflöden och uppgifter i Microsoft Entra-ID
microsoft.directory/organization/strongAuthentication/read Läsa starka autentiseringsegenskaper för en organisation
microsoft.directory/users/lifeCycleInfo/read Läs livscykelinformation för användare, till exempel employeeLeaveDateTime
Ikon för privilegierad etikett.

Sekretessläsare för Meddelandecenter

Användare i den här rollen kan övervaka alla meddelanden i Meddelandecenter, inklusive datasekretessmeddelanden. Sekretessläsare i Meddelandecenter får e-postaviseringar, inklusive sådana som rör datasekretess, och de kan avbryta prenumerationen med hjälp av Inställningar för Meddelandecenter. Endast den globala administratören och meddelandecentrets sekretessläsare kan läsa datasekretessmeddelanden. Dessutom innehåller den här rollen möjligheten att visa grupper, domäner och prenumerationer. Den här rollen har ingen behörighet att visa, skapa eller hantera tjänstbegäranden.

Åtgärder beskrivning
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.messageCenter/securityMessages/read Läsa säkerhetsmeddelanden i Meddelandecenter i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Meddelandecenterläsare

Användare i den här rollen kan övervaka meddelanden och rådgivande hälsouppdateringar i Meddelandecenter för organisationen på konfigurerade tjänster som Exchange, Intune och Microsoft Teams. Meddelandecenterläsare får veckovisa e-postsammandrag av inlägg, uppdateringar och kan dela inlägg i meddelandecenter i Microsoft 365. I Microsoft Entra-ID har användare som tilldelats den här rollen endast skrivskyddad åtkomst till Microsoft Entra-tjänster som användare och grupper. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.

Åtgärder beskrivning
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Microsoft 365-migreringsadministratör

Tilldela rollen Microsoft 365 Migration Administrator till användare som behöver utföra följande uppgifter:

  • Använd Migration Manager i Administrationscenter för Microsoft 365 för att hantera innehållsmigrering till Microsoft 365, inklusive Teams, OneDrive för företag och SharePoint-webbplatser, från Google Drive, Dropbox, Box och Egnyte
  • Välj migreringskällor, skapa migreringsinventeringar (till exempel Google Drive-användarlistor), schemalägga och köra migreringar och ladda ned rapporter
  • Skapa nya SharePoint-webbplatser om målwebbplatserna inte redan finns, skapa SharePoint-listor under SharePoint-administratörswebbplatserna och skapa och uppdatera objekt i SharePoint-listor
  • Hantera inställningar för migreringsprojekt och migreringslivscykel för uppgifter
  • Hantera behörighetsmappningar från källa till mål

Kommentar

Med den här rollen kan du inte migrera från filresurskällor med hjälp av administrationscentret för SharePoint. Du kan använda rollen SharePoint-administratör för att migrera från filresurskällor.

Läs mer

Åtgärder beskrivning
microsoft.office365.migrations/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft 365-migreringar
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Lokal administratör för Microsoft Entra-ansluten enhet

Den här rollen är endast tillgänglig för tilldelning som ytterligare en lokal administratör i Enhetsinställningar. Användare med den här rollen blir lokala datoradministratörer på alla Windows 10-enheter som är anslutna till Microsoft Entra-ID. De har inte möjlighet att hantera enhetsobjekt i Microsoft Entra-ID.

Åtgärder beskrivning
microsoft.directory/groupSettings/standard/read Läsa grundläggande egenskaper för gruppinställningar
microsoft.directory/groupSettingTemplates/standard/read Läsa grundläggande egenskaper för gruppinställningsmallar

Microsofts administratör för maskinvarugaranti

Tilldela rollen Microsoft Hardware Warranty Administrator till användare som behöver utföra följande uppgifter:

  • Skapa nya garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens
  • Sök och läs öppna eller stängda garantianspråk
  • Sök och läs garantianspråk efter serienummer
  • Skapa, läsa, uppdatera och ta bort leveransadresser
  • Läs leveransstatus för öppna garantianspråk
  • Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
  • Läs meddelandecentermeddelanden i Administrationscenter för Microsoft 365

Ett garantianspråk är en begäran om att få maskinvaran reparerad eller ersatt i enlighet med garantivillkoren. Mer information finns i Självbetjäning av dina Surface-garanti- och servicebegäranden.

Åtgärder beskrivning
microsoft.hardware.support/shippingAddress/allProperties/allTasks Skapa, läsa, uppdatera och ta bort leveransadresser för Microsofts maskinvarugarantianspråk, inklusive leveransadresser som skapats av andra
microsoft.hardware.support/shippingStatus/allProperties/read Läs leveransstatus för öppna microsofts maskinvarugarantianspråk
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Skapa och hantera alla aspekter av Microsofts maskinvarugarantianspråk
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Microsoft Hardware Warranty Specialist

Tilldela rollen Microsoft Hardware Warranty Specialist till användare som behöver utföra följande uppgifter:

  • Skapa nya garantianspråk för Microsoft-tillverkad maskinvara, till exempel Surface och HoloLens
  • Läs garantianspråk som de har skapat
  • Läsa och uppdatera befintliga leveransadresser
  • Läs leveransstatus för öppna garantianspråk som de skapade
  • Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365

Ett garantianspråk är en begäran om att få maskinvaran reparerad eller ersatt i enlighet med garantivillkoren. Mer information finns i Självbetjäning av dina Surface-garanti- och servicebegäranden.

Åtgärder beskrivning
microsoft.hardware.support/shippingAddress/allProperties/read Läs leveransadresser för Microsofts maskinvarugarantianspråk, inklusive befintliga leveransadresser som skapats av andra
microsoft.hardware.support/warrantyClaims/createAsOwner Skapa garantianspråk för Microsoft-maskinvara där skaparen är ägare
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Läs leveransstatus för öppna microsofts maskinvarugarantianspråk
microsoft.hardware.support/warrantyClaims/allProperties/read Läs microsofts garantianspråk för maskinvara

Modern handelsadministratör

Använd inte. Den här rollen tilldelas automatiskt från Commerce och är inte avsedd eller stöds inte för någon annan användning. Se information nedan.

Rollen modern handelsadministratör ger vissa användare behörighet att komma åt Administrationscenter för Microsoft 365 och se de vänstra navigeringsposterna för Start, Fakturering och Support. Innehållet som är tillgängligt inom dessa områden styrs av handelsspecifika roller som tilldelas användare för att hantera produkter som de har köpt för sig själva eller din organisation. Detta kan omfatta uppgifter som att betala fakturor eller för åtkomst till faktureringskonton och faktureringsprofiler.

Användare med rollen modern handelsadministratör har vanligtvis administratörsbehörighet i andra Microsoft-inköpssystem, men har inte roller som global administratör eller faktureringsadministratör som används för att komma åt administrationscentret.

När tilldelas rollen modern handelsadministratör?

  • Självbetjäningsköp i Administrationscenter för Microsoft 365 – Självbetjäningsköp ger användarna en chans att prova nya produkter genom att köpa eller registrera sig för dem på egen hand. Dessa produkter hanteras i administrationscentret. Användare som gör ett självbetjäningsköp tilldelas en roll i handelssystemet och rollen modern handelsadministratör så att de kan hantera sina inköp i administrationscentret. Administratörer kan blockera självbetjäningsköp (för Infrastrukturresurser, Power BI, Power Apps, Power Automate) via PowerShell. Mer information finns i Vanliga frågor och svar om självbetjäningsköp.
  • Köp från Microsofts kommersiella marknadsplats – På samma sätt som självbetjäningsköp tilldelas rollen modern handelsadministratör om användaren inte har rollen Global administratör eller faktureringsadministratör när en användare köper en produkt eller tjänst från Microsoft AppSource eller Azure Marketplace. I vissa fall kan användare blockeras från att göra dessa inköp. Mer information finns i Microsofts kommersiella marknadsplats.
  • Förslag från Microsoft – Ett förslag är ett formellt erbjudande från Microsoft för din organisation att köpa Microsofts produkter och tjänster. När den person som godkänner förslaget inte har en global administratörs- eller faktureringsadministratörsroll i Microsoft Entra-ID tilldelas de både en handelsspecifik roll för att slutföra förslaget och rollen Som modern handelsadministratör för åtkomst till administrationscentret. När de kommer åt administrationscentret kan de bara använda funktioner som är auktoriserade av deras handelsspecifika roll.
  • Handelsspecifika roller – Vissa användare tilldelas handelsspecifika roller. Om en användare inte är global administratör eller faktureringsadministratör får de rollen Modern Commerce Administrator så att de kan komma åt administrationscentret.

Om rollen modern handelsadministratör inte har tilldelats från en användare förlorar de åtkomsten till Administrationscenter för Microsoft 365. Om de hanterar några produkter, antingen för sig själva eller för din organisation, kommer de inte att kunna hantera dem. Det kan vara att tilldela licenser, ändra betalningsmetoder, betala fakturor eller andra uppgifter för att hantera prenumerationer.

Åtgärder beskrivning
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Hantera alla aspekter av Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/basic/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Nätverksadministratör

Användare i den här rollen kan granska rekommendationer för nätverksperimeterarkitektur från Microsoft som baseras på nätverkstelemetri från deras användarplatser. Nätverksprestanda för Microsoft 365 förlitar sig på noggrann nätverksperimeterarkitektur för företagskunder, vilket vanligtvis är användarplatsspecifikt. Den här rollen möjliggör redigering av identifierade användarplatser och konfiguration av nätverksparametrar för dessa platser för att underlätta förbättrade telemetrimätningar och designrekommendationer

Åtgärder beskrivning
microsoft.office365.network/locations/allProperties/allTasks Hantera alla aspekter av nätverksplatser
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för Office-appar

Användare i den här rollen kan hantera Molninställningar för Microsoft 365-appar. Detta omfattar hantering av molnprinciper, självbetjäningshantering för nedladdning och möjligheten att visa Office-appen s relaterade rapport. Den här rollen ger dessutom möjlighet att hantera supportärenden och övervaka tjänstens hälsa i huvudadministrationscentret. Användare som tilldelats den här rollen kan också hantera kommunikation av nya funktioner i Office-appen.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.userCommunication/allEntities/allTasks Läsa och uppdatera synligheten för nya meddelanden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Organisationsanpassningsadministratör

Tilldela rollen Organisationsanpassningsadministratör till användare som behöver utföra följande uppgifter:

  • Hantera alla aspekter av organisationsanpassning i en klientorganisation
  • Läsa, skapa, uppdatera och ta bort varumärkesteman
  • Hantera standardtemat för varumärkesanpassning och alla lokaliseringsteman för varumärkesanpassning
Åtgärder beskrivning
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Skapa och ta bort loginTenantBranding och läs och uppdatera alla egenskaper

Godkännare för organisationsmeddelanden

Tilldela rollen Godkännare för organisationsmeddelanden till användare som behöver utföra följande uppgifter:

  • Granska, godkänna eller avvisa nya organisationsmeddelanden för leverans i Administrationscenter för Microsoft 365 innan de skickas till användare med hjälp av Microsoft 365 Organizational Messages-plattformen
  • Läs alla aspekter av organisationsmeddelanden
  • Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
Åtgärder beskrivning
microsoft.office365.organizationalMessages/allEntities/allProperties/read Läs alla aspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.organizationalMessages/allEntities/allProperties/update Godkänna eller avvisa nya organisationsmeddelanden för leverans i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Författare av organisationsmeddelanden

Tilldela rollen Författare av organisationsmeddelanden till användare som behöver utföra följande uppgifter:

  • Skriva, publicera och ta bort organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
  • Hantera leveransalternativ för organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
  • Läsa resultat av leverans av organisationsmeddelanden med hjälp av Administrationscenter för Microsoft 365 eller Microsoft Intune
  • Visa användningsrapporter och de flesta inställningar i Administrationscenter för Microsoft 365, men kan inte göra ändringar
Åtgärder beskrivning
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Hantera alla redigeringsaspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.usageReports/allEntities/standard/read Läsa aggregerade Office 365-användningsrapporter på klientnivå
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Stöd för partnernivå 1

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Microsoft Entra-ID i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartners och är inte avsedd för allmän användning.

Viktigt!

Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för endast icke-administratörer. Den här rollen bör inte användas eftersom den är inaktuell.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/applications/appRoles/update Uppdatera egenskapen appRoles för alla typer av program
microsoft.directory/applications/audience/update Uppdatera målgruppsegenskapen för program
microsoft.directory/applications/authentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program
microsoft.directory/applications/credentials/update Uppdatera programautentiseringsuppgifter
Ikon för privilegierad etikett.
microsoft.directory/applications/notes/update Uppdatera anteckningar om program
microsoft.directory/applications/owners/update Uppdatera ägare av program
microsoft.directory/applications/permissions/update Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/applications/tag/update Uppdatera taggar för program
microsoft.directory/contacts/basic/update Uppdatera grundläggande egenskaper för kontakter
microsoft.directory/contacts/create Skapa kontakter
microsoft.directory/contacts/delete Ta bort kontakter
microsoft.directory/deletedItems.groups/restore Återställa mjukt borttagna grupper till ursprungligt tillstånd
microsoft.directory/deletedItems.users/restore Återställa mjukt borttagna användare till ursprungligt tillstånd
microsoft.directory/groups/create Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/delete Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/owners/update Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/restore Återställa grupper från en container med mjuk borttagning
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/users/assignLicense Hantera användarlicenser
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/create Lägg till användare
Ikon för privilegierad etikett.
microsoft.directory/users/delete Ta bort användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.directory/users/photo/update Uppdatera foto av användare
microsoft.directory/users/restore Återställa borttagna användare
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Support för partnernivå 2

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Använd inte. Den här rollen har blivit inaktuell och kommer att tas bort från Microsoft Entra-ID i framtiden. Den här rollen är avsedd för användning av ett litet antal Microsoft-återförsäljningspartners och är inte avsedd för allmän användning.

Viktigt!

Den här rollen kan återställa lösenord och ogiltigförklara uppdateringstoken för alla icke-administratörer och administratörer (inklusive globala administratörer). Den här rollen bör inte användas eftersom den är inaktuell.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/applications/appRoles/update Uppdatera egenskapen appRoles för alla typer av program
microsoft.directory/applications/audience/update Uppdatera målgruppsegenskapen för program
microsoft.directory/applications/authentication/update Uppdatera autentisering för alla typer av program
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program
microsoft.directory/applications/credentials/update Uppdatera programautentiseringsuppgifter
Ikon för privilegierad etikett.
microsoft.directory/applications/notes/update Uppdatera anteckningar om program
microsoft.directory/applications/owners/update Uppdatera ägare av program
microsoft.directory/applications/permissions/update Uppdatera exponerade behörigheter och nödvändiga behörigheter för alla typer av program
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/applications/tag/update Uppdatera taggar för program
microsoft.directory/contacts/basic/update Uppdatera grundläggande egenskaper för kontakter
microsoft.directory/contacts/create Skapa kontakter
microsoft.directory/contacts/delete Ta bort kontakter
microsoft.directory/deletedItems.groups/restore Återställa mjukt borttagna grupper till ursprungligt tillstånd
microsoft.directory/deletedItems.users/restore Återställa mjukt borttagna användare till ursprungligt tillstånd
microsoft.directory/domains/allProperties/allTasks Skapa och ta bort domäner och läsa och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/groups/create Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/delete Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/owners/update Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/restore Återställa grupper från en container med mjuk borttagning
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/organization/basic/update Uppdatera grundläggande egenskaper i organisationen
microsoft.directory/roleAssignments/allProperties/allTasks Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper
microsoft.directory/roleDefinitions/allProperties/allTasks Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/subscribedSkus/standard/read Läsa grundläggande egenskaper för prenumerationer
microsoft.directory/users/assignLicense Hantera användarlicenser
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/create Lägg till användare
Ikon för privilegierad etikett.
microsoft.directory/users/delete Ta bort användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.directory/users/photo/update Uppdatera foto av användare
microsoft.directory/users/restore Återställa borttagna användare
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Lösenordsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har begränsad möjlighet att hantera lösenord. Den här rollen ger inte möjlighet att hantera tjänstbegäranden eller övervaka tjänstens hälsa. Om en lösenordsadministratör kan återställa en användares lösenord beror på vilken roll användaren har tilldelats. En lista över de roller som en lösenordsadministratör kan återställa lösenord för finns i Vem kan återställa lösenord.

Användare med den här rollen kan inte göra följande:

  • Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
Åtgärder beskrivning
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för behörighetshantering

Tilldela rollen Administratör för behörighetshantering till användare som behöver utföra följande uppgifter:

  • Hantera alla aspekter av Microsoft Entra – behörighetshantering när tjänsten finns

Läs mer om roller och principer för behörighetshantering i Visa information om roller/principer.

Åtgärder beskrivning
microsoft.permissionsManagement/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Entra – behörighetshantering

Power Platform-administratör

Användare i den här rollen kan skapa och hantera alla aspekter av miljöer, Power Apps, flöden, principer för dataförlustskydd. Dessutom kan användare med den här rollen hantera supportärenden och övervaka tjänstens hälsa.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.dynamics365/allEntities/allTasks Hantera alla aspekter av Dynamics 365
microsoft.flow/allEntities/allTasks Hantera alla aspekter av Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.powerApps/allEntities/allTasks Hantera alla aspekter av Power Apps

Skrivaradministratör

Användare i den här rollen kan registrera skrivare och hantera alla aspekter av alla skrivarkonfigurationer i Microsoft Universal Print-lösningen, inklusive inställningarna för anslutningsprogrammet för universell utskrift. De kan godkänna alla delegerade begäranden om utskriftsbehörighet. Skrivaradministratörer har också åtkomst till utskriftsrapporter.

Åtgärder beskrivning
microsoft.azure.print/allEntities/allProperties/allTasks Skapa och ta bort skrivare och anslutningsappar samt läsa och uppdatera alla egenskaper i Microsoft Print

Skrivartekniker

Användare med den här rollen kan registrera skrivare och hantera skrivarstatus i Microsoft Universal Print-lösningen. De kan också läsa all anslutningsinformation. Nyckeluppgift som en skrivartekniker inte kan göra är att ange användarbehörigheter för skrivare och delningsskrivare.

Åtgärder beskrivning
microsoft.azure.print/connectors/allProperties/read Läs alla egenskaper för anslutningsappar i Microsoft Print
microsoft.azure.print/printers/allProperties/read Läs alla egenskaper för skrivare i Microsoft Print
microsoft.azure.print/printers/basic/update Uppdatera grundläggande egenskaper för skrivare i Microsoft Print
microsoft.azure.print/printers/register Registrera skrivare i Microsoft Print
microsoft.azure.print/printers/unregister Avregistrera skrivare i Microsoft Print

Administratör av privilegierad autentisering

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Tilldela rollen Administratör för privilegierad autentisering till användare som behöver göra följande:

  • Ange eller återställ valfri autentiseringsmetod (inklusive lösenord) för alla användare, inklusive globala administratörer.
  • Ta bort eller återställa alla användare, inklusive globala administratörer. Mer information finns i Vem kan utföra känsliga åtgärder.
  • Tvinga användare att registrera sig på nytt mot befintliga icke-lösenordsautentiseringsuppgifter (till exempel MFA eller FIDO2) och återkalla MFA på enheten och fråga efter MFA vid nästa inloggning för alla användare.
  • Uppdatera känsliga egenskaper för alla användare. Mer information finns i Vem kan utföra känsliga åtgärder.
  • Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365.
  • Konfigurera certifikatutfärdare med ett PKI-baserat förtroendearkiv (förhandsversion)

Användare med den här rollen kan inte göra följande:

  • Det går inte att hantera MFA per användare i den äldre MFA-hanteringsportalen.

I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.

Roll Hantera användarens autentiseringsmetoder Hantera MFA per användare Hantera MFA-inställningar Hantera policyn för autentiseringsmetod Hantera policyn för lösenordsskydd Uppdatera känsliga egenskaper Ta bort och återställa användare
Autentiseringsadministratör Ja för vissa användare Ja för vissa användare Ja Nej Nej Ja för vissa användare Ja för vissa användare
Administratör för privilegierad autentisering Ja för alla användare Ja för alla användare Nej Nej Nej Ja för alla användare Ja för alla användare
Administratör för autentiseringsprincip Nej Ja Ja Ja Ja Nej Nej
Användaradministratör Nej Nej Nej Nej Nej Ja för vissa användare Ja för vissa användare

Viktigt!

Användare med den här rollen kan ändra autentiseringsuppgifter för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i och utanför Microsoft Entra-ID. Att ändra autentiseringsuppgifterna för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:

  • Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats autentiseringsadministratörer. Genom den här sökvägen kan en autentiseringsadministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
  • Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
  • Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
  • Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen och efterlevnadsportal i Microsoft Purview och personalsystem.
  • Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/deletedItems.users/restore Återställa mjukt borttagna användare till ursprungligt tillstånd
microsoft.directory/users/authenticationMethods/basic/update Uppdatera grundläggande egenskaper för autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/create Uppdatera autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/delete Ta bort autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authenticationMethods/standard/read Läsa standardegenskaper för autentiseringsmetoder för användare
Ikon för privilegierad etikett.
microsoft.directory/users/authorizationInfo/update Uppdatera användar-ID:t för flervärdescertifikat för användare
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/delete Ta bort användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.directory/users/restore Återställa borttagna användare
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för privilegierad roll

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen kan hantera rolltilldelningar i Microsoft Entra-ID samt i Microsoft Entra Privileged Identity Management. De kan skapa och hantera grupper som kan tilldelas till Microsoft Entra-roller. Dessutom möjliggör den här rollen hantering av alla aspekter av Privileged Identity Management och administrativa enheter.

Viktigt!

Den här rollen ger möjlighet att hantera tilldelningar för alla Microsoft Entra-roller, inklusive rollen Global administratör. Den här rollen innehåller inte några andra privilegierade funktioner i Microsoft Entra-ID som att skapa eller uppdatera användare. Användare som tilldelats den här rollen kan dock bevilja sig själva eller andra ytterligare behörigheter genom att tilldela ytterligare roller.

Åtgärder beskrivning
microsoft.directory/accessReviews/definitions.applications/allProperties/read Läs alla egenskaper för åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Hantera åtkomstgranskningar för Microsoft Entra-rolltilldelningar
microsoft.directory/accessReviews/definitions.groups/allProperties/read Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Skapa åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Ta bort åtkomstgranskningar för medlemskap i grupper som kan tilldelas till Microsoft Entra-roller
microsoft.directory/administrativeUnits/allProperties/allTasks Skapa och hantera administrativa enheter (inklusive medlemmar)
microsoft.directory/authorizationPolicy/allProperties/allTasks Hantera alla aspekter av auktoriseringsprincip
Ikon för privilegierad etikett.
microsoft.directory/directoryRoles/allProperties/allTasks Skapa och ta bort katalogroller och läsa och uppdatera alla egenskaper
microsoft.directory/groupsAssignableToRoles/allProperties/update Uppdatera rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/assignLicense Tilldela en licens till rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/create Skapa rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/delete Ta bort rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Bearbeta om licenstilldelningar till rolltilldelningsbara grupper
microsoft.directory/groupsAssignableToRoles/restore Återställa rolltilldelningsbara grupper
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/permissionGrantPolicies/allProperties/read Läs alla egenskaper för behörighetsgivningsprinciper
microsoft.directory/permissionGrantPolicies/allProperties/update Uppdatera alla egenskaper för behörighetsgivningsprinciper
microsoft.directory/permissionGrantPolicies/create Skapa principer för beviljande av behörigheter
microsoft.directory/permissionGrantPolicies/delete Ta bort behörighetsgivningsprinciper
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Skapa och ta bort rolltilldelningar och läs och uppdatera alla rolltilldelningsegenskaper
microsoft.directory/roleDefinitions/allProperties/allTasks Skapa och ta bort rolldefinitioner och läsa och uppdatera alla egenskaper
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Skapa och ta bort scopedRoleMemberships och läsa och uppdatera alla egenskaper
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Bevilja medgivande för alla behörigheter till alla program
microsoft.directory/servicePrincipals/permissions/update Uppdatera behörigheter för tjänstens huvudnamn
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Rapportläsare

Användare med den här rollen kan visa användningsrapporteringsdata och instrumentpanelen för rapporter i Administrationscenter för Microsoft 365 och implementeringskontextpaketet i Fabric och Power BI. Dessutom ger rollen åtkomst till alla inloggningsloggar, granskningsloggar och aktivitetsrapporter i Microsoft Entra-ID och data som returneras av Microsoft Graph-rapport-API:et. En användare som har tilldelats rollen Rapportläsare kan endast komma åt relevanta användnings- och implementeringsmått. De har inga administratörsbehörigheter för att konfigurera inställningar eller komma åt produktspecifika administrationscenter som Exchange. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Sökadministratör

Användare i den här rollen har fullständig åtkomst till alla Microsoft Search-hanteringsfunktioner i Administrationscenter för Microsoft 365. Dessutom kan dessa användare visa meddelandecentret, övervaka tjänstens hälsa och skapa tjänstbegäranden.

Åtgärder beskrivning
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.search/content/manage Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Sökredigeraren

Användare i den här rollen kan skapa, hantera och ta bort innehåll för Microsoft Search i Administrationscenter för Microsoft 365, inklusive bokmärken, Q&as och platser.

Åtgärder beskrivning
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.search/content/manage Skapa och ta bort innehåll och läsa och uppdatera alla egenskaper i Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Säkerhetsadministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har behörighet att hantera säkerhetsrelaterade funktioner i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection och efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.

I Kan göra
Microsoft 365 Defender-portalen Övervaka säkerhetsrelaterade principer i Microsoft 365-tjänster
Hantera säkerhetshot och aviseringar
Visa rapporter
Microsoft Entra ID Protection Alla behörigheter för rollen Säkerhetsläsare
Utför alla ID Protection-åtgärder förutom att återställa lösenord
Privileged Identity Management Alla behörigheter för rollen Säkerhetsläsare
Det går inte att hantera Microsoft Entra-rolltilldelningar eller -inställningar
Efterlevnadsportal i Microsoft Purview Hantera säkerhetsprinciper
Visa, undersöka och svara på säkerhetshot
Visa rapporter
Azure Advanced Threat Protection Övervaka och svara på misstänkt säkerhetsaktivitet
Microsoft Defender för Endpoint Tilldela roller
Hantera datorgrupper
Konfigurera identifiering av slutpunktshot och automatiserad reparation
Visa, undersöka och svara på aviseringar
Visa datorer/enhetsinventering
Intune Mappar till Intune Endpoint Security Manager-rollen
Microsoft Defender for Cloud Apps Lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder
Microsoft 365-tjänstens hälsa Visa hälsotillståndet för Microsoft 365-tjänster
Smart utlåsning Definiera tröskelvärdet och varaktigheten för utelåsningar när misslyckade inloggningshändelser inträffar.
Lösenordsskydd Konfigurera en lista över anpassade förbjudna lösenord eller lokalt lösenordsskydd.
Synkronisering mellan klientorganisationer Konfigurera åtkomstinställningar mellan klientorganisationer för användare i en annan klientorganisation. Säkerhetsadministratörer kan inte skapa och ta bort användare direkt, men kan indirekt skapa och ta bort synkroniserade användare från en annan klientorganisation när båda klienterna har konfigurerats för synkronisering mellan klientorganisationer, vilket är en privilegierad behörighet.
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/applications/policies/update Uppdatera programprinciper
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/conditionalAccessPolicies/basic/update Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/create Skapa principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/delete Ta bort principer för villkorlig åtkomst
microsoft.directory/conditionalAccessPolicies/owners/read Läs ägarna till principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/owners/update Uppdatera ägare för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/standard/read Läs villkorsstyrd åtkomst för principer
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Uppdatera standardklientorganisationen för principer för villkorsstyrd åtkomst
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/basic/update Uppdatera grundläggande inställningar för åtkomstprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Uppdatera Microsoft Entra B2B-direktanslutningsinställningarna för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/standard/read Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Uppdatera klientbegränsningar för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/create Skapa åtkomstprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Ta bort åtkomstprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Uppdatera grundläggande inställningar för synkroniseringsprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Skapa synkroniseringsprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Läsa grundläggande egenskaper för synkroniseringsprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Uppdatera principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Återställ principmallen för synkronisering mellan klientorganisationer för flera klientorganisationer till standardinställningarna
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Uppdatera principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Återställ principmallen för åtkomst mellan klientorganisationer för flera klientorganisationer till standardinställningarna
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer
microsoft.directory/deviceLocalCredentials/standard/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet
microsoft.directory/domains/federationConfiguration/basic/update Uppdatera grundläggande federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/create Skapa federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/delete Ta bort federationskonfiguration för domäner
microsoft.directory/domains/federationConfiguration/standard/read Läsa standardegenskaper för federationskonfiguration för domäner
microsoft.directory/domains/federation/update Uppdatera federationsegenskapen för domäner
Ikon för privilegierad etikett.
microsoft.directory/entitlementManagement/allProperties/read Läs alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/identityProtection/allProperties/read Läs alla resurser i Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Uppdatera alla resurser i Microsoft Entra ID Protection
Ikon för privilegierad etikett.
microsoft.directory/multiTenantOrganization/basic/update Uppdatera grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/create Skapa en organisation för flera klientorganisationer
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Ansluta till en organisation för flera klientorganisationer
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer
microsoft.directory/multiTenantOrganization/standard/read Läsa grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/create Skapa en klientorganisation i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/delete Ta bort en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Uppdatera grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/standard/read Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/namedLocations/basic/update Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/create Skapa anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/delete Ta bort anpassade regler som definierar nätverksplatser
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/policies/basic/update Uppdatera grundläggande egenskaper för principer
Ikon för privilegierad etikett.
microsoft.directory/policies/create Skapa principer i Microsoft Entra-ID
microsoft.directory/policies/delete Ta bort principer i Microsoft Entra-ID
microsoft.directory/policies/owners/update Uppdatera ägare av principer
microsoft.directory/policies/tenantDefault/update Uppdatera standardprinciper för organisationen
microsoft.directory/privilegedIdentityManagement/allProperties/read Läs alla resurser i Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC)
Ikon för privilegierad etikett.
microsoft.directory/servicePrincipals/policies/update Uppdatera principer för tjänstens huvudnamn
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.networkAccess/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Entra-nätverksåtkomst
microsoft.office365.protectionCenter/allEntities/basic/update Uppdatera grundläggande egenskaper för alla resurser i säkerhets- och efterlevnadscenter
microsoft.office365.protectionCenter/allEntities/standard/read Läsa standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Skapa och hantera attacknyttolaster i Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Läs rapporter om attacksimulering, svar och tillhörande utbildning
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Skapa och hantera mallar för attacksimulering i Attack Simulator
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Säkerhetsoperator

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen kan hantera aviseringar och ha global skrivskyddad åtkomst till säkerhetsrelaterade funktioner, inklusive all information i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Privileged Identity Management och efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.

I Kan göra
Microsoft 365 Defender-portalen Alla behörigheter för rollen Säkerhetsläsare
Visa, undersöka och svara på aviseringar om säkerhetshot
Hantera säkerhetsinställningar i Microsoft 365 Defender-portalen
Microsoft Entra ID Protection Alla behörigheter för rollen Säkerhetsläsare
Utför alla ID Protection-åtgärder förutom att konfigurera eller ändra riskbaserade principer, återställa lösenord och konfigurera aviserings-e-postmeddelanden.
Privileged Identity Management Alla behörigheter för rollen Säkerhetsläsare
Efterlevnadsportal i Microsoft Purview Alla behörigheter för rollen Säkerhetsläsare
Visa, undersöka och svara på säkerhetsaviseringar
Microsoft Defender för Endpoint Alla behörigheter för rollen Säkerhetsläsare
Visa, undersöka och svara på säkerhetsaviseringar
När du aktiverar rollbaserad åtkomstkontroll i Microsoft Defender för Endpoint förlorar användare med skrivskyddade behörigheter som rollen Säkerhetsläsare åtkomst tills de har tilldelats en Microsoft Defender för Endpoint roll.
Intune Alla behörigheter för rollen Säkerhetsläsare
Microsoft Defender for Cloud Apps Alla behörigheter för rollen Säkerhetsläsare
Visa, undersöka och svara på säkerhetsaviseringar
Microsoft 365-tjänstens hälsa Visa hälsotillståndet för Microsoft 365-tjänster
Åtgärder beskrivning
microsoft.azure.advancedThreatProtection/allEntities/allTasks Hantera alla aspekter av Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/cloudAppSecurity/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Defender för molnet Apps
microsoft.directory/identityProtection/allProperties/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Microsoft Entra ID Protection
Ikon för privilegierad etikett.
microsoft.directory/privilegedIdentityManagement/allProperties/read Läs alla resurser i Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.intune/allEntities/read Läsa alla resurser i Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i Office 365 Säkerhets- och efterlevnadscenter
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Hantera alla aspekter av Microsoft Defender för Endpoint

Säkerhetsläsare

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Användare med den här rollen har global skrivskyddad åtkomst till säkerhetsrelaterad funktion, inklusive all information i Microsoft 365 Defender-portalen, Microsoft Entra ID Protection, Privileged Identity Management samt möjligheten att läsa Microsoft Entra-inloggningsrapporter och granskningsloggar och i efterlevnadsportal i Microsoft Purview. Mer information om Office 365-behörigheter finns i Roller och rollgrupper i Microsoft Defender för Office 365 och Microsoft Purview-efterlevnad.

I Kan göra
Microsoft 365 Defender-portalen Visa säkerhetsrelaterade principer i Microsoft 365-tjänster
Visa säkerhetshot och aviseringar
Visa rapporter
Microsoft Entra ID Protection Visa alla ID Protection-rapporter och översikt
Privileged Identity Management Har skrivskyddad åtkomst till all information som visas i Microsoft Entra Privileged Identity Management: Principer och rapporter för Microsoft Entra-rolltilldelningar och säkerhetsgranskningar.
Det går inte att registrera sig för Microsoft Entra Privileged Identity Management eller göra några ändringar i den. I portalen för privileged Identity Management eller via PowerShell kan någon i den här rollen aktivera ytterligare roller (till exempel Privilegierad rolladministratör) om användaren är berättigad till dem.
Efterlevnadsportal i Microsoft Purview Visa säkerhetsprinciper
Visa och undersöka säkerhetshot
Visa rapporter
Microsoft Defender för Endpoint Visa och undersöka aviseringar
När du aktiverar rollbaserad åtkomstkontroll i Microsoft Defender för Endpoint förlorar användare med skrivskyddade behörigheter som rollen Säkerhetsläsare åtkomst tills de har tilldelats en Microsoft Defender för Endpoint roll.
Intune Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune.
Microsoft Defender for Cloud Apps Har läsbehörigheter.
Microsoft 365-tjänstens hälsa Visa hälsotillståndet för Microsoft 365-tjänster
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/accessReviews/definitions/allProperties/read Läs alla egenskaper för åtkomstgranskningar av alla granskningsbara resurser i Microsoft Entra-ID
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper i granskningsloggar, exklusive granskningsloggar för anpassade säkerhetsattribut
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/bitlockerKeys/key/read Läsa bitlocker-metadata och nyckel på enheter
Ikon för privilegierad etikett.
microsoft.directory/conditionalAccessPolicies/owners/read Läs ägarna till principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Läs egenskapen "tillämpad på" för principer för villkorsstyrd åtkomst
microsoft.directory/conditionalAccessPolicies/standard/read Läs villkorsstyrd åtkomst för principer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Läsa grundläggande egenskaper för principmallar för synkronisering mellan klientorganisationer för flera klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Läsa grundläggande egenskaper för principmallar för åtkomst mellan klientorganisationer för flera klientorganisationer
microsoft.directory/deviceLocalCredentials/standard/read Läs alla egenskaper för autentiseringsuppgifterna för det säkerhetskopierade lokala administratörskontot för Microsoft Entra-anslutna enheter, förutom lösenordet
microsoft.directory/domains/federationConfiguration/standard/read Läsa standardegenskaper för federationskonfiguration för domäner
microsoft.directory/entitlementManagement/allProperties/read Läs alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/identityProtection/allProperties/read Läs alla resurser i Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Läs egenskaper för en organisationsanslutningsbegäran för flera klientorganisationer
microsoft.directory/multiTenantOrganization/standard/read Läsa grundläggande egenskaper för en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Läs organisationsinformation om en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/multiTenantOrganization/tenants/standard/read Läsa grundläggande egenskaper för en klientorganisation som deltar i en organisation med flera klientorganisationer
microsoft.directory/namedLocations/standard/read Läsa grundläggande egenskaper för anpassade regler som definierar nätverksplatser
microsoft.directory/policies/owners/read Läs ägare av principer
microsoft.directory/policies/policyAppliedTo/read Egenskapen Read policies.policyAppliedTo
microsoft.directory/policies/standard/read Läsa grundläggande egenskaper för principer
microsoft.directory/privilegedIdentityManagement/allProperties/read Läs alla resurser i Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Läs alla egenskaper för etableringsloggar
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper för inloggningsrapporter, inklusive privilegierade egenskaper
microsoft.networkAccess/allEntities/allProperties/read Läs alla aspekter av Microsoft Entra-nätverksåtkomst
microsoft.office365.protectionCenter/allEntities/standard/read Läsa standardegenskaper för alla resurser i säkerhets- och efterlevnadscenter
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Läs alla egenskaper för attacknyttolaster i Attack Simulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Läs rapporter om attacksimulering, svar och tillhörande utbildning
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Läs alla egenskaper för mallar för attacksimulering i Attack Simulator
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Tjänstsupportadministratör

Användare med den här rollen kan skapa och hantera supportförfrågningar med Microsoft för Azure- och Microsoft 365-tjänster och visa instrumentpanelen för tjänsten och meddelandecentret i Azure Portal och Administrationscenter för Microsoft 365. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.

Kommentar

Den här rollen hette tidigare tjänstadministratör i Azure Portal och Administrationscenter för Microsoft 365. Tjänstens supportadministratör bytte namn till det befintliga namnet i Microsoft Graph API och Microsoft Graph PowerShell.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

SharePoint-administratör

Användare med den här rollen har globala behörigheter inom Microsoft Office SharePoint Online, när tjänsten finns, samt möjligheten att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa. Mer information om Administrera administrationsroller i Microsoft 365 administrationscenter.

Kommentar

I Microsoft Graph API och Microsoft Graph PowerShell får den här rollen namnet SharePoint-tjänstadministratör. I Azure Portal heter den SharePoint-administratör.

Kommentar

Den här rollen ger även begränsade behörigheter till Microsoft Graph API för Microsoft Intune, vilket möjliggör hantering och konfiguration av principer som är relaterade till SharePoint- och OneDrive-resurser.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Skapa och hantera OneDrive-skyddsprincip i Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Läsa och konfigurera återställningssession för OneDrive i Microsoft 365 Backup
microsoft.backup/restorePoints/sites/allProperties/allTasks Hantera alla återställningspunkter som är associerade med valda SharePoint-webbplatser i M365 Backup
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Hantera alla återställningspunkter som är associerade med valda OneDrive-konton i M365 Backup
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Skapa och hantera SharePoint-skyddsprincip i Microsoft 365 Backup
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Läsa och konfigurera återställningssession för SharePoint i Microsoft 365 Backup
microsoft.backup/siteProtectionUnits/allProperties/allTasks Hantera webbplatser som lagts till i SharePoint-skyddsprincip i Microsoft 365 Backup
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Hantera webbplatser som lagts till för att återställa sessionen för SharePoint i Microsoft 365 Backup
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Hantera konton som lagts till i OneDrive-skyddsprincip i Microsoft 365 Backup
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Hantera konton som lagts till i återställningssessionen för OneDrive i Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/basic/update Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/create Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/delete Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/members/update Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/owners/update Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/restore Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper
microsoft.office365.migrations/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft 365-migreringar
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Skapa och ta bort alla resurser och läs och uppdatera standardegenskaper i SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

SharePoint Embedded-administratör

Tilldela rollen SharePoint Embedded-administratör till användare som behöver utföra följande uppgifter:

  • Utföra alla uppgifter med hjälp av PowerShell, Microsoft Graph API eller Administrationscenter för SharePoint
  • Hantera, konfigurera och underhålla SharePoint Embedded-containrar
  • Räkna upp och hantera SharePoint Embedded-containrar
  • Räkna upp och hantera behörigheter för SharePoint Embedded-containrar
  • Hantera lagring av SharePoint Embedded-containrar i en klientorganisation
  • Tilldela säkerhets- och efterlevnadsprinciper för SharePoint Embedded-containrar
  • Tillämpa säkerhets- och efterlevnadsprinciper på SharePoint Embedded-containrar i en klientorganisation

Läs mer

Åtgärder beskrivning
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Hantera alla aspekter av SharePoint Embedded-containrar
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Skype för företag administratör

Användare med den här rollen har globala behörigheter inom Microsoft Skype för företag, när tjänsten finns, samt hantera Skype-specifika användarattribut i Microsoft Entra-ID. Dessutom ger den här rollen möjlighet att hantera supportärenden och övervaka tjänstens hälsa samt att få åtkomst till Teams och Skype för företag administrationscenter. Kontot måste också vara licensierat för Teams eller så kan det inte köra Teams PowerShell-cmdletar. Mer information finns i Skype för företag onlineadministratörs- och Teams-licensieringsinformation på Skype för företag tilläggslicensiering.

Kommentar

I Microsoft Graph API och Microsoft Graph PowerShell får den här rollen namnet Lync-tjänstadministratör. I Azure Portal heter den Skype för företag Administratör.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Teams-administratör

Användare i den här rollen kan hantera alla aspekter av Microsoft Teams-arbetsbelastningen via administrationscentret för Microsoft Teams & Skype för företag och respektive PowerShell-moduler. Detta omfattar bland annat alla hanteringsverktyg som rör telefoni, meddelanden, möten och själva teamen. Den här rollen ger dessutom möjlighet att skapa och hantera alla Microsoft 365-grupper, hantera supportärenden och övervaka tjänstens hälsa.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Uppdatera tillåtna molnslutpunkter för åtkomstprincip mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/default/standard/read Läsa grundläggande egenskaper för standardprincipen för åtkomst mellan klientorganisationer
microsoft.directory/crossTenantAccessPolicy/partners/create Skapa åtkomstprincip för flera klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer för partner
microsoft.directory/crossTenantAccessPolicy/standard/read Läsa grundläggande egenskaper för åtkomstprincip mellan klientorganisationer
microsoft.directory/externalUserProfiles/basic/update Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/externalUserProfiles/delete Ta bort externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/externalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/basic/update Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/create Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/delete Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/members/update Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/owners/update Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/restore Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper
microsoft.directory/pendingExternalUserProfiles/basic/update Uppdatera grundläggande egenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/create Skapa externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/delete Ta bort externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Läsa standardegenskaper för externa användarprofiler i den utökade katalogen för Teams
microsoft.directory/permissionGrantPolicies/standard/read Läsa standardegenskaper för behörighetsgivningsprinciper
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Hantera alla resurser i Teams

Teams kommunikationsadministratör

Användare i den här rollen kan hantera aspekter av Microsoft Teams-arbetsbelastningen som rör röst - och telefoni. Detta omfattar hanteringsverktygen för telefonnummertilldelning, röst- och mötesprinciper och fullständig åtkomst till verktygsuppsättningen för samtalsanalys.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/callQuality/allProperties/read Läsa alla data på instrumentpanelen för samtalskvalitet (CQD)
microsoft.teams/meetings/allProperties/allTasks Hantera möten, inklusive mötesprinciper, konfigurationer och konferensbroar
microsoft.teams/voice/allProperties/allTasks Hantera röst inklusive samtalsprinciper och telefonnummerinventering och tilldelning

Supporttekniker för Teams-kommunikation

Användare i den här rollen kan felsöka kommunikationsproblem i Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i administrationscentret för Microsoft Teams & Skype för företag. Användare i den här rollen kan visa fullständig samtalspostinformation för alla inblandade deltagare. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/callQuality/allProperties/read Läsa alla data på instrumentpanelen för samtalskvalitet (CQD)

Supportspecialist för Teams-kommunikation

Användare i den här rollen kan felsöka kommunikationsproblem i Microsoft Teams & Skype för företag med hjälp av felsökningsverktygen för användarsamtal i administrationscentret för Microsoft Teams & Skype för företag. Användare i den här rollen kan bara visa användarinformation i anropet för den specifika användare som de har letat upp. Den här rollen har ingen åtkomst till att visa, skapa eller hantera supportärenden.

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/callQuality/standard/read Läsa grundläggande data i instrumentpanelen för samtalskvalitet (CQD)

Administratör för Teams-enheter

Användare med den här rollen kan hantera Teams-certifierade enheter från administrationscentret för Teams. Med den här rollen kan du visa alla enheter med en snabb överblick, med möjlighet att söka efter och filtrera enheter. Användaren kan kontrollera information om varje enhet, inklusive loggat konto, märke och modell för enheten. Användaren kan ändra inställningarna på enheten och uppdatera programvaruversionerna. Den här rollen beviljar inte behörighet att kontrollera Teams-aktivitet och anropa enhetens kvalitet.

Åtgärder beskrivning
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/devices/standard/read Hantera alla aspekter av Teams-certifierade enheter, inklusive konfigurationsprinciper

Teams telefoniadministratör

Tilldela rollen Teams telefoniadministratör till användare som behöver utföra följande uppgifter:

  • Hantera röst- och telefoni, inklusive samtalsprinciper, telefonnummerhantering och tilldelning samt röstprogram
  • Åtkomst till endast pstn-användningsrapporter (Public Switched Telephone Network) från Administrationscenter för Teams
  • Visa sidan användarprofil
  • Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365

Läs mer

Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/authorizationPolicy/standard/read Läsa standardegenskaper för auktoriseringsprincip
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Hantera alla aspekter av Skype för företag Online
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.teams/callQuality/allProperties/read Läsa alla data på instrumentpanelen för samtalskvalitet (CQD)
microsoft.teams/voice/allProperties/allTasks Hantera röst inklusive samtalsprinciper och telefonnummerinventering och tilldelning

Skapare av klientorganisation

Tilldela rollen Klientskapare till användare som behöver utföra följande uppgifter:

  • Skapa både Microsoft Entra- och Azure Active Directory B2C-klientorganisationer även om växlingsknappen för att skapa klientorganisationen är inaktiverad i användarinställningarna

Kommentar

Innehavarskaparna tilldelas rollen Global administratör för de nya klientorganisationer som de skapar.

Åtgärder beskrivning
microsoft.directory/tenantManagement/tenants/create Skapa nya klienter i Microsoft Entra-ID

Läsare av användningssammanfattningsrapporter

Tilldela rollen Läsare för användningssammanfattningsrapporter till användare som behöver utföra följande uppgifter i Administrationscenter för Microsoft 365:

  • Visa användningsrapporter och implementeringspoäng
  • Läs organisationsinsikter, men inte personligt identifierbar information (PII) för användare

Den här rollen tillåter endast användare att visa data på organisationsnivå med följande undantag:

  • Medlemsanvändare kan visa användarhanteringsdata och inställningar.
  • Gästanvändare som tilldelats den här rollen kan inte visa användarhanteringsdata och inställningar.
Åtgärder beskrivning
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Läsa aggregerade Office 365-användningsrapporter på klientnivå
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Användaradministratör

Ikon för privilegierad etikett.

Det här är en privilegierad roll. Tilldela rollen Användaradministratör till användare som behöver göra följande:

Behörighet Mer information
Skapa användare
Uppdatera de flesta användaregenskaper för alla användare, inklusive alla administratörer Vem kan utföra känsliga åtgärder
Uppdatera känsliga egenskaper (inklusive användarens huvudnamn) för vissa användare Vem kan utföra känsliga åtgärder
Inaktivera eller aktivera vissa användare Vem kan utföra känsliga åtgärder
Ta bort eller återställa vissa användare Vem kan utföra känsliga åtgärder
Skapa och hantera användarvyer
Skapa och hantera alla grupper
Tilldela och läsa licenser för alla användare, inklusive alla administratörer
Återställa lösenord Vem kan återställa lösenord
Ogiltigförklara uppdateringstoken Vem kan återställa lösenord
Uppdatera enhetsnycklar (FIDO)
Uppdatera principer för förfallodatum för lösenord
Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365
Övervaka tjänstens hälsa

Användare med den här rollen kan inte göra följande:

  • Det går inte att hantera MFA.
  • Det går inte att ändra autentiseringsuppgifterna eller återställa MFA för medlemmar och ägare av en rolltilldelningsbar grupp.
  • Det går inte att hantera delade postlådor.
  • Det går inte att ändra säkerhetsfrågor för återställning av lösenord.

Viktigt!

Användare med den här rollen kan ändra lösenord för personer som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration inom och utanför Microsoft Entra-ID. Att ändra lösenordet för en användare kan innebära möjligheten att anta att användarens identitet och behörigheter. Till exempel:

  • Ägare av programregistrering och företagsprogram, som kan hantera autentiseringsuppgifter för appar som de äger. Dessa appar kan ha privilegierade behörigheter i Microsoft Entra-ID och på andra platser som inte har beviljats användaradministratörer. Med den här sökvägen kan en användaradministratör anta identiteten för en programägare och sedan ytterligare anta identiteten för ett privilegierat program genom att uppdatera autentiseringsuppgifterna för programmet.
  • Azure-prenumerationsägare som kan ha åtkomst till känslig eller privat information eller kritisk konfiguration i Azure.
  • Säkerhetsgrupps- och Microsoft 365-gruppägare som kan hantera gruppmedlemskap. Dessa grupper kan ge åtkomst till känslig eller privat information eller kritisk konfiguration i Microsoft Entra-ID och någon annanstans.
  • Administratörer i andra tjänster utanför Microsoft Entra-ID som Exchange Online, Microsoft 365 Defender-portalen, efterlevnadsportal i Microsoft Purview och personalsystem.
  • Icke-administratörer som chefer, juridiska ombud och personalpersonal som kan ha tillgång till känslig eller privat information.
Åtgärder beskrivning
microsoft.azure.serviceHealth/allEntities/allTasks Läsa och konfigurera Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Hantera åtkomstgranskningar av programrolltilldelningar i Microsoft Entra-ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Läs alla egenskaper för åtkomstgranskningar för Microsoft Entra-rolltilldelningar
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Hantera åtkomstgranskningar för åtkomstpakettilldelningar i berättigandehantering
microsoft.directory/accessReviews/definitions.groups/allProperties/read Läs alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Uppdatera alla egenskaper för åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper.
microsoft.directory/accessReviews/definitions.groups/create Skapa åtkomstgranskningar för medlemskap i Säkerhets- och Microsoft 365-grupper.
microsoft.directory/accessReviews/definitions.groups/delete Ta bort åtkomstgranskningar för medlemskap i säkerhets- och Microsoft 365-grupper.
microsoft.directory/contacts/basic/update Uppdatera grundläggande egenskaper för kontakter
microsoft.directory/contacts/create Skapa kontakter
microsoft.directory/contacts/delete Ta bort kontakter
microsoft.directory/deletedItems.groups/restore Återställa mjukt borttagna grupper till ursprungligt tillstånd
microsoft.directory/deletedItems.users/restore Återställa mjukt borttagna användare till ursprungligt tillstånd
microsoft.directory/entitlementManagement/allProperties/allTasks Skapa och ta bort resurser och läs och uppdatera alla egenskaper i Microsoft Entra-berättigandehantering
microsoft.directory/groups/assignLicense Tilldela produktlicenser till grupper för gruppbaserad licensiering
microsoft.directory/groups/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/classification/update Uppdatera klassificeringsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/create Skapa säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/delete Ta bort säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/dynamicMembershipRule/update Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/groupType/update Uppdatera egenskaper som skulle påverka grupptypen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups/members/update Uppdatera medlemmar i säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/onPremWriteBack/update Uppdatera Microsoft Entra-grupper som ska skrivas tillbaka till lokalt med Microsoft Entra Connect
microsoft.directory/groups/owners/update Uppdatera ägare av säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups/reprocessLicenseAssignment Bearbeta om licenstilldelningar för gruppbaserad licensiering
microsoft.directory/groups/restore Återställa grupper från en container med mjuk borttagning
microsoft.directory/groups/settings/update Uppdatera inställningar för grupper
microsoft.directory/groups/visibility/update Uppdatera synlighetsegenskapen för säkerhetsgrupper och Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Skapa och ta bort OAuth 2.0-behörighetsbidrag och läs och uppdatera alla egenskaper
Ikon för privilegierad etikett.
microsoft.directory/policies/standard/read Läsa grundläggande egenskaper för principer
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera rolltilldelningar för tjänstens huvudnamn
microsoft.directory/users/assignLicense Hantera användarlicenser
microsoft.directory/users/basic/update Uppdatera grundläggande egenskaper för användare
microsoft.directory/users/convertExternalToInternalMemberUser Konvertera extern användare till intern användare
microsoft.directory/users/create Lägg till användare
Ikon för privilegierad etikett.
microsoft.directory/users/delete Ta bort användare
Ikon för privilegierad etikett.
microsoft.directory/users/disable Inaktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/enable Aktivera användare
Ikon för privilegierad etikett.
microsoft.directory/users/invalidateAllRefreshTokens Framtvinga utloggning genom att ogiltigförklara användaruppdateringstoken
Ikon för privilegierad etikett.
microsoft.directory/users/inviteGuest Bjud in gästanvändare
microsoft.directory/users/manager/update Uppdateringshanteraren för användare
microsoft.directory/users/password/update Återställa lösenord för alla användare
Ikon för privilegierad etikett.
microsoft.directory/users/photo/update Uppdatera foto av användare
microsoft.directory/users/reprocessLicenseAssignment Bearbeta om licenstilldelningar för användare
microsoft.directory/users/restore Återställa borttagna användare
microsoft.directory/users/sponsors/update Uppdatera sponsorer för användare
microsoft.directory/users/usageLocation/update Uppdatera användarnas användningsplats
microsoft.directory/users/userPrincipalName/update Uppdatera användarens huvudnamn
Ikon för privilegierad etikett.
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Hanteraren för användarupplevelse

Tilldela rollen User Experience Success Manager till användare som behöver utföra följande uppgifter:

  • Läs användningsrapporter på organisationsnivå för Microsoft 365-applikationer och tjänster, men inte användarinformation
  • Visa organisationens produktfeedback, NPS-undersökningsresultat (Net Promoter Score) och hjälp med artikelvyer för att identifiera kommunikation och utbildningsmöjligheter
  • Läsa inlägg i meddelandecenter och tjänsthälsodata

Läs mer

Åtgärder beskrivning
microsoft.commerce.billing/purchases/standard/read Läs köptjänster i administrationscentret för M365.
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Läs alla aspekter av Microsoft 365-organisationsmeddelanden
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Läsa aggregerade Office 365-användningsrapporter på klientnivå
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Administratör för virtuella besök

Användare med den här rollen kan utföra följande uppgifter:

  • Hantera och konfigurera alla aspekter av virtuella besök i bokningar i Administrationscenter för Microsoft 365 och i Teams EHR-anslutningsapp
  • Visa användningsrapporter för virtuella besök i administrationscentret för Teams, Administrationscenter för Microsoft 365, Infrastrukturresurser och Power BI
  • Visa funktioner och inställningar i Administrationscenter för Microsoft 365, men kan inte redigera några inställningar

Virtuella besök är ett enkelt sätt att schemalägga och hantera online- och videomöten för personal och deltagare. Användningsrapportering kan till exempel visa hur sändning av SMS före avtalade tider kan minska antalet personer som inte dyker upp för avtalade tider.

Åtgärder beskrivning
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Hantera och dela information och mått för virtuella besök från administrationscenter eller appen Virtuella besök

Viva-måladministratör

Tilldela rollen Viva-måladministratör till användare som behöver utföra följande uppgifter:

  • Hantera och konfigurera alla aspekter av Microsoft Viva Goals-programmet
  • Konfigurera administratörsinställningar för Microsoft Viva Goals
  • Läs information om Microsoft Entra-klientorganisationen
  • Övervaka Microsoft 365-tjänstens hälsa
  • Skapa och hantera Microsoft 365-tjänstbegäranden

Mer information finns i Roller och behörigheter i Viva-mål och Introduktion till Microsoft Viva-mål.

Åtgärder beskrivning
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Viva-mål

Viva Pulse-administratör

Tilldela Rollen Viva Pulse-administratör till användare som behöver utföra följande uppgifter:

  • Läsa och konfigurera alla inställningar för Viva Pulse
  • Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
  • Läsa och konfigurera Azure Service Health
  • Skapa och hantera Azure Support biljetter
  • Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
  • Läsa användningsrapporter i Administrationscenter för Microsoft 365

Mer information finns i Tilldela en Viva Pulse-administratör i Administrationscenter för Microsoft 365.

Åtgärder beskrivning
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Hantera alla aspekter av Microsoft Viva Pulse

Windows 365-administratör

Användare med den här rollen har globala behörigheter för Windows 365-resurser när tjänsten finns. Dessutom innehåller den här rollen möjligheten att hantera användare och enheter för att associera principer, samt skapa och hantera grupper.

Den här rollen kan skapa och hantera säkerhetsgrupper, men har inte administratörsbehörighet över Microsoft 365-grupper. Det innebär att administratörer inte kan uppdatera ägare eller medlemskap i Microsoft 365-grupper i organisationen. De kan dock hantera den Microsoft 365-grupp som de skapar, vilket är en del av deras slutanvändarbehörigheter. Därför räknas alla Microsoft 365-grupper (inte säkerhetsgrupper) som de skapar mot deras kvot på 250.

Tilldela rollen Windows 365-administratör till användare som behöver utföra följande uppgifter:

  • Hantera Windows 365 Molnbaserad dator i Microsoft Intune
  • Registrera och hantera enheter i Microsoft Entra-ID, inklusive tilldelning av användare och principer
  • Skapa och hantera säkerhetsgrupper, men inte rolltilldelningsbara grupper
  • Visa grundläggande egenskaper i Administrationscenter för Microsoft 365
  • Läsa användningsrapporter i Administrationscenter för Microsoft 365
  • Skapa och hantera supportärenden i Azure och Administrationscenter för Microsoft 365
Åtgärder beskrivning
microsoft.azure.supportTickets/allEntities/allTasks Skapa och hantera Azure Support biljetter
microsoft.cloudPC/allEntities/allProperties/allTasks Hantera alla aspekter av Windows 365
microsoft.directory/deletedItems.devices/delete Ta bort enheter permanent, som inte längre kan återställas
microsoft.directory/deletedItems.devices/restore Återställa mjuka borttagna enheter till ursprungligt tillstånd
microsoft.directory/deviceManagementPolicies/standard/read Läsa standardegenskaper för hantering av mobila enheter och hanteringsprinciper för mobilappar
microsoft.directory/deviceRegistrationPolicy/standard/read Läsa standardegenskaper för enhetsregistreringsprinciper
microsoft.directory/devices/basic/update Uppdatera grundläggande egenskaper på enheter
microsoft.directory/devices/create Skapa enheter (registrera i Microsoft Entra-ID)
microsoft.directory/devices/delete Ta bort enheter från Microsoft Entra-ID
microsoft.directory/devices/disable Inaktivera enheter i Microsoft Entra-ID
microsoft.directory/devices/enable Aktivera enheter i Microsoft Entra-ID
microsoft.directory/devices/extensionAttributeSet1/update Uppdatera extensionAttribute1 till extensionAttribute5-egenskaper på enheter
microsoft.directory/devices/extensionAttributeSet2/update Uppdatera tilläggetAttribute6 till egenskaperna extensionAttribute10 på enheter
microsoft.directory/devices/extensionAttributeSet3/update Uppdatera tilläggetAttribute11 till egenskaperna extensionAttribute15 på enheter
microsoft.directory/devices/registeredOwners/update Uppdatera registrerade ägare av enheter
microsoft.directory/devices/registeredUsers/update Uppdatera registrerade användare av enheter
microsoft.directory/groups.security/basic/update Uppdatera grundläggande egenskaper för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/classification/update Uppdatera klassificeringsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/create Skapa säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/delete Ta bort säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/dynamicMembershipRule/update Uppdatera regeln för dynamiskt medlemskap i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/members/update Uppdatera medlemmar i säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/owners/update Uppdatera ägare av säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.security/visibility/update Uppdatera synlighetsegenskapen för säkerhetsgrupper, exklusive rolltilldelningsbara grupper
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365

Distributionsadministratör för Windows Update

Användare i den här rollen kan skapa och hantera alla aspekter av Windows Update-distributioner via distributionstjänsten Windows Update för företag. Distributionstjänsten gör det möjligt för användare att definiera inställningar för när och hur uppdateringar distribueras och ange vilka uppdateringar som erbjuds till grupper av enheter i deras klientorganisation. Det gör det också möjligt för användare att övervaka uppdateringsstatusen.

Åtgärder beskrivning
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Läsa och konfigurera alla aspekter av Windows Update Service

Yammer-administratör

Tilldela Yammer-administratörsrollen till användare som behöver utföra följande uppgifter:

  • Hantera alla aspekter av Yammer
  • Skapa, hantera och återställa Microsoft 365-grupper, men inte rolltilldelningsbara grupper
  • Visa dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
  • Läsa användningsrapporter i Administrationscenter för Microsoft 365
  • Skapa och hantera tjänstbegäranden i Administrationscenter för Microsoft 365
  • Visa meddelanden i Meddelandecenter, men inte säkerhetsmeddelanden
  • Visa hälsotillstånd för tjänst

Läs mer

Åtgärder beskrivning
microsoft.directory/groups/hiddenMembers/read Läs dolda medlemmar i säkerhetsgrupper och Microsoft 365-grupper, inklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/basic/update Uppdatera grundläggande egenskaper för Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/create Skapa Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/delete Ta bort Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/members/update Uppdatera medlemmar i Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/owners/update Uppdatera ägare av Microsoft 365-grupper, exklusive rolltilldelningsbara grupper
microsoft.directory/groups.unified/restore Återställa Microsoft 365-grupper från en container med mjuk borttagning, exklusive rolltilldelningsbara grupper
microsoft.office365.messageCenter/messages/read Läsa meddelanden i Meddelandecenter i Administrationscenter för Microsoft 365, exklusive säkerhetsmeddelanden
microsoft.office365.network/performance/allProperties/read Läs alla egenskaper för nätverksprestanda i Administrationscenter för Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Läsa och konfigurera Service Health i Administrationscenter för Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Skapa och hantera Microsoft 365-tjänstbegäranden
microsoft.office365.usageReports/allEntities/allProperties/read Läs användningsrapporter för Office 365
microsoft.office365.webPortal/allEntities/standard/read Läsa grundläggande egenskaper för alla resurser i Administrationscenter för Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Hantera alla aspekter av Yammer

Inaktuella roller

Följande roller bör inte användas. De har blivit inaktuella och kommer att tas bort från Microsoft Entra-ID i framtiden.

  • AdHoc-licensadministratör
  • Enhetsanslutning
  • Enhetshanteraren
  • Enhetsanvändare
  • E-postverifierad användarskapare
  • Postlådeadministratör
  • Anslut till arbetsplatsenhet

Roller som inte visas i portalen

Alla roller som returneras av PowerShell eller MS Graph API visas inte i Azure Portal. I följande tabell ordnas dessa skillnader.

API-namn Azure Portal namn Kommentar
Enhetsanslutning Inaktuell Dokumentation om inaktuella roller
Enhetshanteraren Inaktuell Dokumentation om inaktuella roller
Enhetsanvändare Inaktuell Dokumentation om inaktuella roller
Katalogsynkroniseringskonton Visas inte eftersom den inte ska användas Dokumentation om katalogsynkroniseringskonton
Gästanvändare Visas inte eftersom den inte kan användas NA
Support för partnernivå 1 Visas inte eftersom den inte ska användas Supportdokumentation för partnernivå 1
Support för partnernivå 2 Visas inte eftersom den inte ska användas Supportdokumentation för Partnernivå 2
Begränsad gästanvändare Visas inte eftersom den inte kan användas NA
User Visas inte eftersom den inte kan användas NA
Anslut till arbetsplatsenhet Inaktuell Dokumentation om inaktuella roller

Nästa steg