Předdefinované role Microsoft Entra

V Microsoft Entra ID, pokud jiný správce nebo jiný správce potřebuje spravovat prostředky Microsoft Entra, přiřadíte jim roli Microsoft Entra, která poskytuje oprávnění, která potřebují. Můžete například přiřadit role, které umožňují přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.

Tento článek obsahuje seznam předdefinovaných rolí Microsoft Entra, které můžete přiřadit k povolení správy prostředků Microsoft Entra. Informace o přiřazování rolí najdete zde: Přiřazení rolí Microsoft Entra uživatelům. Pokud hledáte role pro správu prostředků Azure, podívejte se na předdefinované role Azure.

Všechny role

Role Popis ID šablony
Správce aplikace Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací.
Ikona privilegovaného popisku
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Vývojář aplikace Může vytvářet registrace aplikací nezávisle na nastavení Uživatelé mohou registrovat aplikace.
Ikona privilegovaného popisku
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor datové části útoku Může vytvořit datové části útoku, které může správce zahájit později. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Správce simulace útoku Může vytvářet a spravovat všechny aspekty kampaní simulace útoků. c430b396-e693-46cc-96f3-db01bf8bb62a
Správce přiřazení atributů Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Čtenář přiřazení atributů Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Správce definic atributů Definujte a spravujte definici vlastních atributů zabezpečení. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Čtečka definic atributů Přečtěte si definici vlastních atributů zabezpečení. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Správce protokolu atributů Přečtěte si protokoly auditu a nakonfigurujte nastavení diagnostiky pro události související s vlastními atributy zabezpečení. 5b784334-f94b-471a-a387-e7219fc49ca2
Čtenář protokolu atributů Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení 9c99539d-8186-4804-835f-fd51ef9e2dcd
Správce ověřování Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele bez oprávnění správce.
Ikona privilegovaného popisku
c4e39bd9-1100-46d3-8c65-fb160da0071f
Správce rozšiřitelnosti ověřování Přizpůsobte si možnosti přihlašování a registrace uživatelů vytvořením a správou vlastních rozšíření ověřování.
Ikona privilegovaného popisku
25a516ed-2fa0-40ea-a2d0-12923a21473a
Správce zásad ověřování Může vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta, zásady ochrany hesel a ověřitelné přihlašovací údaje. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Správce Azure DevOps Může spravovat zásady a nastavení Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Správce služby Azure Information Protection Může spravovat všechny aspekty produktu Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Správce sady klíčů B2C IEF Může spravovat tajné kódy pro federaci a šifrování v rozhraní IEF (Identity Experience Framework).
Ikona privilegovaného popisku
aaf43236-0c0d-4d5f-883a-6955382ac081
Správce zásad B2C IEF Může vytvářet a spravovat zásady architektury důvěryhodnosti v rozhraní IEF (Identity Experience Framework). 3edaf663-341e-4475-9f94-5c398ef6c070
Správce fakturace Může provádět běžné úkoly související s fakturací, třeba aktualizovat platební údaje. b0f54661-2d74-4c50-afa3-1ec803f12efe
Správce Cloud App Security Může spravovat všechny aspekty produktu Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Správce cloudové aplikace Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací, kromě proxy aplikací.
Ikona privilegovaného popisku
158c047a-c907-4556-b7ef-446551a6b5f7
Správce cloudových zařízení Omezený přístup ke správě zařízení v Microsoft Entra ID.
Ikona privilegovaného popisku
7698a772-787b-4ac8-901f-60d6b08affd2
Správce dodržování předpisů Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Microsoft Entra ID a Microsoftu 365. 17315797-102d-40b4-93e0-432062caca18
Správce dat dodržování předpisů Vytváří a spravuje obsah dodržování předpisů. e6d1a23a-da11-4be4-9570-befc86d067a7
Správce podmíněného přístupu Může spravovat možnosti podmíněného přístupu.
Ikona privilegovaného popisku
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Schvalovatel přístupu Customer LockBoxu Může schválit žádosti o podporu Microsoftu pro přístup k datům organizace zákazníka. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Správce Desktop Analytics Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Čtenáři adresářů Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. 88d8e3e3-8f55-4a1e-953a-9b9898b88876b
Účty synchronizace adresářů Používá se pouze služba Microsoft Entra Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Zapisovače adresářů Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele.
Ikona privilegovaného popisku
9360feb5-f418-4baa-8175-e2a00bac4301
Správce názvu domény Může spravovat názvy domén v cloudu a v místním prostředí.
Ikona privilegovaného popisku
8329153b-31d0-4727-b945-745eb3bc5f31
správce Dynamics 365 Může spravovat všechny aspekty produktu Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
správce Dynamics 365 Business Central Přístup k prostředím Dynamics 365 Business Central a provádění všech úloh správy 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Správce Edge Spravujte všechny aspekty Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Správce Exchange Může spravovat všechny aspekty produktu Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Správce příjemce Exchange Může vytvářet nebo aktualizovat příjemce Exchange Online v organizaci Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Správce toku externího ID uživatele Může vytvářet a spravovat všechny aspekty toků uživatelů. 6e591065-9bad-43ed-90f3-e9424366d2f0
Správce atributů toku externího ID uživatele Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Externí správce zprostředkovatele identity Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci.
Ikona privilegovaného popisku
be2f45a1-457d-42af-a067-6ec1fa63bc45
Správce prostředků infrastruktury Může spravovat všechny aspekty produktů Fabric a Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Globální správce Může spravovat všechny aspekty ID Microsoft Entra a služby Microsoft, které používají identity Microsoft Entra.
Ikona privilegovaného popisku
62e90394-69f5-4237-9190-012177145e10
Globální čtenář Může číst všechno, co může globální správce, ale nic neaktualizovat.
Ikona privilegovaného popisku
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Globální správce zabezpečeného přístupu Vytvářejte a spravujte všechny aspekty Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup, včetně správy přístupu k veřejným a privátním koncovým bodům. ac434307-12b9-4fa1-a708-88bf58caabc1
Správce skupin Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu. fdd7a751-b60b-444a-984c-02652fe8fa1c
Pozvaný host Může zvát uživatele typu host bez ohledu na nastavení, jestli členové můžou zvát hosty. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Správce helpdesku Může resetovat hesla uživatelů, kteří nejsou správci, a správců technické podpory.
Ikona privilegovaného popisku
729827e3-9c14-49f7-bb1b-9608f156bbb8
Správce hybridní identity Spravujte Službu Active Directory pro zřizování cloudu Microsoft Entra, Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Connect Health.
Ikona privilegovaného popisku
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Správce zásad správného řízení identit Správa přístupu pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Správce přehledů Má přístup správce v aplikaci Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analytik přehledů Získejte přístup k analytickým možnostem v Microsoft Viva Insights a spouštění vlastních dotazů. 25df335f-86eb-4119-b717-0ff02de207e9
Přehledy obchodního vedoucího programu Prostřednictvím aplikace Microsoft 365 Insights můžete zobrazit a sdílet řídicí panely a přehledy. 31e939ad-9672-4796-9c2e-873181342d2d
Správce Intune Může spravovat všechny aspekty produktu Intune.
Ikona privilegovaného popisku
3a2c62db-5318-420d-8d74-23affee5d9d5
Správce Kaizala Může spravovat nastavení pro Microsfot Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Správce znalostí Může konfigurovat znalosti, učení a další inteligentní funkce. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Knowledge Manager Může organizovat, vytvářet, spravovat a propagovat témata a znalosti. 744ec460-397e-42ad-a462-8b3f9747a02c
Správce licencí Může spravovat licence produktů pro uživatele a skupiny. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Správce pracovních postupů životního cyklu Umožňuje vytvářet a spravovat všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v MICROSOFT Entra ID.
Ikona privilegovaného popisku
59d46f88-662b-457b-bceb-5c3809e5908f
Čtečka ochrany osobních údajů v Centru zpráv Může číst zprávy zabezpečení a aktualizace jenom v Centru zpráv Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Čtečka centra zpráv Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c05c1b
Správce migrace Microsoftu 365 Pomocí Migration Manageru proveďte všechny funkce migrace k migraci obsahu do Microsoftu 365. 8c8b803f-96e1-4129-9349-20738d9f9652
Místní správce zařízení připojený k Microsoft Entra Uživatelé přiřazení k této roli se přidají do místní skupiny administrators na zařízeních připojených k Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Správce záruky hardwaru společnosti Microsoft Vytvářejte a spravujte všechny aspekty nároků na záruky a nároky na hardware vyrobený microsoftem, jako je Surface a HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Specialista microsoftu na záruku hardwaru Vytvářejte a přečtěte si nároky na záruku pro hardware, který vyrábí Microsoft, jako je Surface a HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Správce moderního obchodování Může spravovat komerční nákupy pro společnost, oddělení nebo tým. d24aef57-1500-4070-84db-2666f29cf9666
Správce sítě Může spravovat síťová umístění a kontrolovat přehledy návrhu podnikové sítě pro aplikace Microsoft 365 Software jako služba. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Správce aplikací Office Může spravovat aplikace Office cloudové služby, včetně správy zásad a nastavení, a spravovat možnost výběru, zrušení výběru a publikování obsahu funkcí "co je nového" na zařízeních koncových uživatelů. 2b745bdf-0803-4d80-aa65-822c4493daac
Správce brandingu organizace Spravujte všechny aspekty brandingu organizace v tenantovi. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Schvalovatel zpráv organizace Před odesláním uživatelům zkontrolujte, schvalte nebo odmítněte nové zprávy organizace pro doručení v Centrum pro správu Microsoftu 365. e48398e2-f4bb-4074-8f31-4586725e205b
Zapisovatel zpráv organizace Pište, publikujte, spravujte a kontrolujte zprávy organizace pro koncové uživatele prostřednictvím produktů Microsoftu. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Podpora partnerské vrstvy 1 Nepoužívejte - není určeno pro obecné použití.
Ikona privilegovaného popisku
4ba39ca4-527c-499a-b93d-d9b492c50246
Podpora partnerské vrstvy 2 Nepoužívejte - není určeno pro obecné použití.
Ikona privilegovaného popisku
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Správce hesel Může resetovat hesla pro správce a správce hesel.
Ikona privilegovaného popisku
966707d0-3269-4727-9be2-8c3a10f19b9d
Správce správy oprávnění Správa všech aspektů Správa oprávnění Microsoft Entra af78dc32-cf4d-46f9-ba4e-4428526346b5
Správce Power Platform Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, Power Apps a Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Správce tiskárny Může spravovat všechny aspekty tiskáren a konektorů tiskárny. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technik tiskárny Může zaregistrovat a zrušit registraci tiskáren a aktualizovat stav tiskárny. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Správce privilegovaného ověřování Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce).
Ikona privilegovaného popisku
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Správce privilegovaných rolí Může spravovat přiřazení rolí v MICROSOFT Entra ID a všechny aspekty Privileged Identity Management.
Ikona privilegovaného popisku
e8611ab8-c189-46e8-94e1-60213ab1f814
Čtenář sestav Může číst sestavy přihlášení a auditu. 4a5d8f65-41da-4de4-8968-e035b65339cf
Správce vyhledávání Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor vyhledávání Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, plán prostorového uspořádání. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Správce zabezpečení Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365.
Ikona privilegovaného popisku
194ae4cb-b126-40b2-bd5b-6091b380977d
Operátor zabezpečení Vytváří a spravuje události zabezpečení.
Ikona privilegovaného popisku
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Čtenář zabezpečení Může číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365.
Ikona privilegovaného popisku
5d6b6bb7-de71-4623-b4af-96380a352509
Správce podpory služeb Může číst informace o stavu služeb a spravovat lístky podpory. f023fd81-a637-4b56-95fd-791ac0226033
Správce SharePointu Může spravovat všechny aspekty služby SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Správce služby SharePoint Embedded Správa všech aspektů kontejnerů Služby SharePoint Embedded 1a7d78b6-429f-476b-b8eb-35fb715fffd4
správce Skype pro firmy Může spravovat všechny aspekty Skype pro firmy produktu. 75941009-915a-4869-abe7-691bff18279e
Správce Teams Může spravovat službu Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Správce komunikace Teams Může spravovat funkce volání a schůzek ve službě Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Technik podpory komunikace v Teams Může řešit problémy s komunikací v Teams pomocí pokročilých nástrojů. f70938a0-fc10-4177-9e90-2178f8765737
Specialista na podporu komunikace v Teams Může řešit problémy s komunikací v teams pomocí základních nástrojů. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Správce zařízení Teams Může provádět úlohy související se správou na certifikovaných zařízeních Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Správce telefonních služeb Teams Spravujte funkce hlasového a telefonního telefonu a vyřešte problémy s komunikací ve službě Microsoft Teams. aa38014f-0993-46e9-9b45-30501a20909d
Tvůrce tenanta Vytvořte nové tenanty Microsoft Entra nebo Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Čtenář souhrnných sestav využití Přečtěte si sestavy využití a skóre přijetí, ale nemáte přístup k podrobnostem uživatele. 75934031-6c7e-415a-99d7-48dbd49e875e
Správce uživatelů Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce.
Ikona privilegovaného popisku
fe930be7-5e62-47db-91af-98c3a49a38b1
Správce úspěchu uživatelského prostředí Zobrazte si zpětnou vazbu k produktům, výsledky průzkumu a sestavy a najděte si školení a komunikační příležitosti. 27460883-1df1-4691-b032-3b79643e5e63
Správce virtuálních návštěv Spravujte a sdílejte informace o virtuálních návštěvách a metriky z center pro správu nebo z aplikace Virtuální návštěvy. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals Administrator Správa a konfigurace všech aspektů cílů Microsoft Viva 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse Administrator Může spravovat všechna nastavení pro aplikaci Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Správce Windows 365 Může zřizovat a spravovat všechny aspekty cloudových počítačů. 11451d60-acb2-45eb-a7d6-43d0f0125c13
správce nasazení služba Windows Update Může vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. 32696413-001a-46ae-978c-ce0f6b3620d2
Správce Yammeru Umožňuje spravovat všechny aspekty služby Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Správce aplikace

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.

Důležité

Tato výjimka znamená, že stále můžete souhlasit s oprávněními aplikace pro jiné aplikace (například jiné aplikace Microsoftu, aplikace třetích stran nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, například správce privilegovaných rolí.

Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Aktualizace standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/create Vytvoření zásad aplikace
microsoft.directory/applicationPolicies/delete Odstranění zásad aplikace
microsoft.directory/applicationPolicies/owners/read Čtení vlastníků zásad aplikací
microsoft.directory/applicationPolicies/owners/update Aktualizace vlastnosti vlastníka zásad aplikace
microsoft.directory/applicationPolicies/policyAppliedTo/read Čtení zásad aplikací použitých u seznamu objektů
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applications/applicationProxyAuthentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/applicationProxy/read Čtení všech vlastností proxy aplikací
microsoft.directory/applications/applicationProxySslCertificate/update Aktualizace nastavení certifikátu SSL pro proxy aplikace
microsoft.directory/applications/applicationProxy/update Aktualizace všech vlastností proxy aplikace
microsoft.directory/applications/applicationProxyUrlSettings/update Aktualizace nastavení adresy URL pro proxy aplikace
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Ikona privilegovaného popisku
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applications/verification/update Aktualizovat vlastnost aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectorGroups/allProperties/update Aktualizace všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectorGroups/create Vytvoření skupin privátních síťových konektorů
microsoft.directory/connectorGroups/delete Odstranění skupin privátních síťových konektorů
microsoft.directory/connectors/allProperties/read Čtení všech vlastností privátních síťových konektorů
microsoft.directory/connectors/create Vytvoření privátních síťových konektorů
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Ikona privilegovaného popisku
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/credentials/update Aktualizace přihlašovacích údajů instančních objektů
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Vývojář aplikace

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když nastavení Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.

Akce Popis
microsoft.directory/applications/createAsOwner Vytvoření všech typů aplikací a tvůrce se přidá jako první vlastník.
microsoft.directory/oAuth2PermissionGrants/createAsOwner Vytvoření oprávnění OAuth 2.0 s autorem jako prvním vlastníkem
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/createAsOwner Vytvoření instančních objektů s tvůrcem jako prvním vlastníkem

Autor datové části útoku

Uživatelé v této roli mohou vytvářet datové části útoku, ale ve skutečnosti je nespustí ani neplánují. Datové části útoku jsou pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování

Správce simulace útoku

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontrolu výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Vytváření a správa šablon simulace útoků v simulátoru útoku

Správce přiřazení atributů

Uživatelé s touto rolí můžou přiřadit a odebrat vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra, jako jsou uživatelé, instanční objekty a zařízení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení
microsoft.directory/devices/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro zařízení
microsoft.directory/devices/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro zařízení
microsoft.directory/servicePrincipals/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro instanční objekty
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro instanční objekty
microsoft.directory/users/customSecurityAttributes/read Čtení hodnot vlastních atributů zabezpečení pro uživatele
microsoft.directory/users/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro uživatele

Čtenář přiřazení atributů

Uživatelé s touto rolí mohou číst klíče a hodnoty vlastních atributů zabezpečení pro podporované objekty Microsoft Entra.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení
microsoft.directory/devices/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro zařízení
microsoft.directory/servicePrincipals/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro instanční objekty
microsoft.directory/users/customSecurityAttributes/read Čtení hodnot vlastních atributů zabezpečení pro uživatele

Správce definic atributů

Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit k podporovaným objektům Microsoft Entra. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/allTasks Správa všech aspektů sad atributů
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Správa všech aspektů definic vlastních atributů zabezpečení

Čtečka definic atributů

Uživatelé s touto rolí mohou číst definici vlastních atributů zabezpečení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení

Správce protokolu atributů

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
  • Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
  • Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení

Uživatelé s touto rolí nemohou číst protokoly auditu pro jiné události.

Globální správce a další role správců ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Pokud chcete číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Čtenář protokolu atributů.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Konfigurace všech aspektů nastavení diagnostiky vlastních atributů zabezpečení
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení

Čtenář protokolu atributů

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
  • Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení

Uživatelé s touto rolí nemohou provádět následující úlohy:

  • Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
  • Čtení protokolů auditu pro jiné události

Globální správce a další role správců ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Chcete-li číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Správce protokolu atributů.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení

Správce ověřování

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Přiřaďte roli Správce ověřování uživatelům, kteří potřebují:

  • Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro jiné správce a některé role. Seznam rolí, které může správce ověřování číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
  • Vyžadovat, aby se uživatelé, kteří nejsou správci nebo přiřadili k některým rolím, znovu zaregistrovali stávající přihlašovací údaje bez hesla (například MFA nebo FIDO), a také můžou odvolat vícefaktorové ověřování na zařízení, které při příštím přihlášení vyzve vícefaktorové ověřování.
  • Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
  • U některých uživatelů proveďte citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
  • Nejde spravovat hardwarové tokeny OATH.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Správce ověřování Ano pro některé uživatele Ano pro některé uživatele Yes No No Ano pro některé uživatele Ano pro některé uživatele
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Správce zásad ověřování No Ano Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele

Důležité

Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům ověřování. Prostřednictvím této cesty může správce ověřování předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/standard/restrictedRead Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje pro uživatele
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/delete Odstranění uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce rozšiřitelnosti ověřování

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Přiřaďte roli Správce rozšiřitelnosti ověřování uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření a správa všech aspektů vlastních rozšíření ověřování

Uživatelé s touto rolí nemohou provádět následující akce:

  • Vlastní rozšíření ověřování nelze přiřadit aplikacím za účelem úprav prostředí ověřování a nelze udělit souhlas s oprávněními aplikace nebo vytvářet registrace aplikací přidružených k rozšíření vlastního ověřování. Místo toho musíte použít role Správce aplikací, Vývojář aplikací nebo Správce cloudových aplikací.

Rozšíření vlastního ověřování je koncový bod rozhraní API vytvořený vývojářem pro události ověřování a je zaregistrovaný v Microsoft Entra ID. Správci aplikací a vlastníci aplikací můžou pomocí vlastních rozšíření ověřování přizpůsobit prostředí ověřování aplikace, jako je přihlášení a registrace nebo resetování hesla.

Další informace

Akce Popis
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Ikona privilegovaného popisku

Správce zásad ověřování

Přiřaďte roli Správce zásad ověřování uživatelům, kteří potřebují:

  • Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta a zásady ochrany hesel, které určují, které metody můžou jednotliví uživatelé zaregistrovat a používat.
  • Spravovat nastavení ochrany heslem: konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
  • Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
  • Vytvořte a spravujte ověřitelné přihlašovací údaje.
  • Vytváření a správa lístků podpora Azure

Uživatelé s touto rolí nemohou provádět následující akce:

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Správce ověřování Ano pro některé uživatele Ano pro některé uživatele Yes No No Ano pro některé uživatele Ano pro některé uživatele
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Správce zásad ověřování No Ano Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele
Akce Popis
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/organization/strongAuthentication/allTasks Správa všech aspektů silných vlastností ověřování organizace
microsoft.directory/userCredentialPolicies/basic/update Aktualizace základních zásad pro uživatele
microsoft.directory/userCredentialPolicies/create Vytvoření zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/delete Odstranění zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/owners/read Čtení vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/owners/update Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Read policy.appliesTo navigation link
microsoft.directory/userCredentialPolicies/standard/read Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/tenantDefault/update Update policy.isOrganizationDefault – vlastnost
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizace ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odvolání ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/create Vytvoření ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/create Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/delete Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů

Správce Azure DevOps

Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které jsou podporovány ID Microsoft Entra. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporována ID Microsoft Entra společnosti. Uživatelé v této roli navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například správci kolekcí projektů) v žádné organizaci Azure DevOps, kterou podporuje organizace Microsoft Entra společnosti.

Akce Popis
microsoft.azure.devOps/allEntities/allTasks Čtení a konfigurace Azure DevOps

Správce služby Azure Information Protection

Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky zásad služby Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění v Microsoft Entra ID Protection, Privileged Identity Management, Monitorování stavu služeb Microsoft 365, portálu Microsoft 365 Defender nebo Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce sady klíčů IEF B2C

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování a dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data vypršení platnosti i po jeho vytvoření.

Důležité

Jedná se o citlivou roli. Role správce sady klíčů by se měla pečlivě auditovat a přiřazovat opatrně během předprodukčního a produkčního prostředí.

Akce Popis
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Čtení a konfigurace sad klíčů v Azure Active Directory B2C
Ikona privilegovaného popisku

Správce zásad IEF B2C

Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad architekturou prostředí identit v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, posílat data uživatelů do externích systémů, včetně úplné migrace, a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče ani upravit tajné kódy používané pro federaci v organizaci.

Důležité

Správce zásad B2 IEF je vysoce citlivá role, která by měla být přiřazena velmi omezeným způsobem pro organizace v produkčním prostředí. Aktivity těchto uživatelů by měly být pečlivě auditovány, zejména pro organizace v produkčním prostředí.

Akce Popis
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Čtení a konfigurace vlastních zásad v Azure Active Directory B2C

Správce fakturace

Provádí nákupy, spravuje předplatná, spravuje lístky podpory a monitoruje stav služby.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Správa všech aspektů fakturace Office 365
microsoft.directory/organization/basic/update Aktualizace základních vlastností v organizaci
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Cloud App Security

Uživatelé s touto rolí mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defenderu for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.

Akce Popis
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce cloudové aplikace

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.

Důležité

Tato výjimka znamená, že stále můžete souhlasit s oprávněními aplikace pro jiné aplikace (například jiné aplikace Microsoftu, aplikace třetích stran nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, například správce privilegovaných rolí.

Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správce aplikace mu dává možnost zosobnit identitu aplikace.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Aktualizace standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/create Vytvoření zásad aplikace
microsoft.directory/applicationPolicies/delete Odstranění zásad aplikace
microsoft.directory/applicationPolicies/owners/read Čtení vlastníků zásad aplikací
microsoft.directory/applicationPolicies/owners/update Aktualizace vlastnosti vlastníka zásad aplikace
microsoft.directory/applicationPolicies/policyAppliedTo/read Čtení zásad aplikací použitých u seznamu objektů
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Ikona privilegovaného popisku
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applications/verification/update Aktualizovat vlastnost aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/credentials/update Aktualizace přihlašovacích údajů instančních objektů
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce cloudových zařízení

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli můžou na webu Azure Portal povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst klíče BitLockeru s Windows 10 (pokud existují). Role neuděluje oprávnění ke správě dalších vlastností v zařízení.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/basic/update Aktualizace základních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
Ikona privilegovaného popisku
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizace základních vlastností zásad registrace zařízení
Ikona privilegovaného popisku
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365

Správce dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazovaní můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál pro dodržování předpisů Microsoft Purview Ochrana a správa dat vaší organizace napříč službami Microsoftu 365
Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender Správa zásad správného řízení dat
Prošetření právních údajů a dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako skupina rolí Správce dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender.
Intune Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny předdefinované sestavy v části Správa dat
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce dat dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v Centru pro správu Exchange, Správci dodržování předpisů a v Centru pro správu Teams a Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi správcem dodržování předpisů a správcem dat dodržování předpisů najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů microsoft Purview.

V Může to udělat
Portál pro dodržování předpisů Microsoft Purview Monitorování zásad souvisejících s dodržováním předpisů napříč službami Microsoftu 365
Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender Správa zásad správného řízení dat
Prošetření právních údajů a dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako skupina rolí Správce dat dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender.
Intune Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny předdefinované sestavy v části Správa dat
Akce Popis
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce podmíněného přístupu

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu Microsoft Entra.

Akce Popis
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/create Vytváření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizace vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Ikona privilegovaného popisku

Schvalovatel přístupu Customer LockBoxu

Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Dostanou e-mailová oznámení o žádostech Customer Lockboxu a můžou schválit a odepřít žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla uživatelů přiřazených k této roli můžou resetovat jenom globální správci.

Akce Popis
microsoft.office365.lockbox/allEntities/allTasks Správa všech aspektů Customer Lockboxu
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Desktop Analytics

Uživatelé v této roli mohou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazení inventáře prostředků, vytvoření plánů nasazení a zobrazení stavu nasazení a stavu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics

Čtenáři adresářů

Uživatelé v této roli mohou číst základní informace o adresáři. Tuto roli byste měli použít pro:

  • Udělení konkrétní sady přístupů pro čtení uživatelů typu host místo udělení všem uživatelům typu host.
  • Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k Centru pro správu Microsoft Entra, pokud je možnost Omezit přístup k Centru pro správu Microsoft Entra nastavená na Ano.
  • Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možnost.
Akce Popis
microsoft.directory/administrativeUnits/members/read Čtení členů jednotek pro správu
microsoft.directory/administrativeUnits/standard/read Čtení základních vlastností jednotek pro správu
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applications/owners/read Čtení vlastníků aplikací
microsoft.directory/applications/policies/read Čtení zásad aplikací
microsoft.directory/applications/standard/read Čtení standardních vlastností aplikací
microsoft.directory/contacts/memberOf/read Čtení členství ve skupině pro všechny kontakty v Microsoft Entra ID
microsoft.directory/contacts/standard/read Čtení základních vlastností kontaktů v MICROSOFT Entra ID
microsoft.directory/contracts/standard/read Čtení základních vlastností u kontraktů partnerů
microsoft.directory/devices/memberOf/read Čtení členství zařízení
microsoft.directory/devices/registeredOwners/read Čtení registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/read Čtení registrovaných uživatelů zařízení
microsoft.directory/devices/standard/read Čtení základních vlastností na zařízeních
microsoft.directory/directoryRoles/eligibleMembers/read Přečtěte si oprávněné členy rolí Microsoft Entra.
microsoft.directory/directoryRoles/members/read Čtení všech členů rolí Microsoft Entra
microsoft.directory/directoryRoles/standard/read Čtení základních vlastností rolí Microsoft Entra
microsoft.directory/domains/standard/read Čtení základních vlastností v doménách
microsoft.directory/groups/appRoleAssignments/read Čtení přiřazení rolí aplikace skupin
microsoft.directory/groupSettings/standard/read Čtení základních vlastností v nastavení skupiny
microsoft.directory/groupSettingTemplates/standard/read Čtení základních vlastností v šablonách nastavení skupin
microsoft.directory/groups/memberOf/read Přečtěte si vlastnost memberOf ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/groups/members/read Čtení členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/owners/read Čtení vlastníků skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/settings/read Čtení nastavení skupin
microsoft.directory/groups/standard/read Čtení standardních vlastností skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/standard/read Čtení základních vlastností u udělení oprávnění OAuth 2.0
microsoft.directory/organization/standard/read Čtení základních vlastností v organizaci
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Čtení důvěryhodných certifikačních autorit pro ověřování bez hesla
microsoft.directory/roleAssignments/standard/read Čtení základních vlastností přiřazení rolí
microsoft.directory/roleDefinitions/standard/read Čtení základních vlastností definic rolí
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Čtení přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/appRoleAssignments/read Čtení přiřazení rolí přiřazených instančním objektům
microsoft.directory/servicePrincipals/memberOf/read Čtení členství ve skupinách v instančních objektech
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u instančních objektů
microsoft.directory/servicePrincipals/ownedObjects/read Čtení vlastněných objektů instančních objektů
microsoft.directory/servicePrincipals/owners/read Čtení vlastníků instančních objektů
microsoft.directory/servicePrincipals/policies/read Čtení zásad instančních objektů
microsoft.directory/servicePrincipals/standard/read Čtení základních vlastností instančních objektů
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/appRoleAssignments/read Čtení přiřazení rolí aplikace pro uživatele
microsoft.directory/users/deviceForResourceAccount/read Čtení zařízeníForResourceAccount uživatelů
microsoft.directory/users/directReports/read Čtení přímých sestav pro uživatele
microsoft.directory/users/invitedBy/read Přečtěte si uživatele, který pozval externího uživatele do tenanta.
microsoft.directory/users/licenseDetails/read Čtení podrobností o licencích uživatelů
microsoft.directory/users/manager/read Číst nadřízený uživatelů
microsoft.directory/users/memberOf/read Čtení členství ve skupinách uživatelů
microsoft.directory/users/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u uživatelů
microsoft.directory/users/ownedDevices/read Čtení vlastněných zařízení uživatelů
microsoft.directory/users/ownedObjects/read Čtení vlastněných objektů uživatelů
microsoft.directory/users/photo/read Přečíst fotku uživatelů
microsoft.directory/users/registeredDevices/read Čtení registrovaných zařízení uživatelů
microsoft.directory/users/scopedRoleMemberOf/read Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu
microsoft.directory/users/sponzors/read Přečíst sponzory uživatelů
microsoft.directory/users/standard/read Čtení základníchvlastnostíchch

Účty synchronizace adresářů

Nepoužívat. Tato role se automaticky přiřadí službě Microsoft Entra Connect a není určena ani podporována pro jakékoli jiné použití.

Akce Popis
microsoft.directory/onPremisesSynchronization/standard/read Čtení a správa objektů za účelem povolení synchronizace místních adresářů

Zapisovače adresářů

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.

Akce Popis
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groupSettings/basic/update Aktualizace základních vlastností v nastavení skupiny
microsoft.directory/groupSettings/create Vytvoření nastavení skupin
microsoft.directory/groupSettings/delete Odstranění nastavení skupin
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizace skupin Microsoft Entra tak, aby byly zapsány zpět do místního prostředí pomocí microsoft Entra Connect
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/basic/update Aktualizace udělení oprávnění OAuth 2.0
Ikona privilegovaného popisku
microsoft.directory/oAuth2PermissionGrants/create Vytvoření udělení oprávnění OAuth 2.0
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/create Přidat uživatele
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/sponzors/update Aktualizace sponzorů uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku

Správce názvu domény

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Mohou také číst informace o adresáři o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V případě místních prostředí můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružené uživatele byly vždy ověřeny místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel prostřednictvím jednotného přihlašování. Nastavení federace je potřeba synchronizovat přes Microsoft Entra Connect, takže uživatelé mají také oprávnění ke správě služby Microsoft Entra Connect.

Akce Popis
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Dynamics 365

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služby ke správě vašeho tenanta.

Poznámka:

V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Dynamics 365 Správce služeb. Na webu Azure Portal se jmenuje Dynamics 365 Administrator.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

správce Dynamics 365 Business Central

Přiřaďte roli správce Dynamics 365 Business Central uživatelům, kteří potřebují provádět následující úlohy:

  • Přístup k prostředím Dynamics 365 Business Central
  • Provádění všech úloh správy v prostředích
  • Správa životního cyklu prostředí zákazníka
  • Dohled nad rozšířeními nainstalovanými v prostředích
  • Řízení upgradů prostředí
  • Export dat prostředí
  • Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365

Tato role neposkytuje žádná oprávnění pro jiné produkty Dynamics 365.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/domains/standard/read Čtení základních vlastností v doménách
microsoft.directory/organization/standard/read Čtení základních vlastností v organizaci
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/standard/read Čtení základníchvlastnostíchch
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Správa všech aspektů Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Edge

Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů vyžadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace

Akce Popis
microsoft.edge/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Exchange

Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Exchange. Na webu Azure Portal se jmenuje Správce Exchange. V Centru pro správu Exchange se jmenuje správce Exchange Online.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Vytvoření a správa zásad ochrany Exchange Online ve službě Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Čtení a konfigurace relace obnovení pro Exchange Online ve službě Microsoft 365 Backup
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Správa všech bodů obnovení přidružených k vybraným poštovním schránkám Exchange Online v zálohování M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Správa poštovních schránek přidaných do zásad ochrany Exchange Online ve službě Microsoft 365 Backup
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Správa poštovních schránek přidaných do relace obnovení pro Exchange Online ve službě Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.office365.exchange/allEntities/basic/allTasks Správa všech aspektů Exchange Online
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce příjemce Exchange

Uživatelé s touto rolí mají přístup ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchangi Online. Další informace naleznete v tématu Příjemci na serveru Exchange Server.

Akce Popis
microsoft.office365.exchange/migration/allProperties/allTasks Správa všech úkolů souvisejících s migrací příjemců v Exchangi Online
microsoft.office365.exchange/recipients/allProperties/allTasks Vytvoření a odstranění všech příjemců a čtení a aktualizace všech vlastností příjemců v Exchangi Online

Správce toku externího ID uživatele

Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) na webu Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML/CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Microsoft Entra. Na druhou stranu tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury Identity Experience Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.

Akce Popis
microsoft.directory/b2cUserFlow/allProperties/allTasks Čtení a konfigurace toku uživatele v Azure Active Directory B2C

Správce atributů toku externího ID uživatele

Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy dostupné všem tokům uživatelů v organizaci Microsoft Entra. Uživatelé s touto rolí mohou změnit nebo přidat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám toho, jaká data mohou být požádáni o koncové uživatele a nakonec je odesílat jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.

Akce Popis
microsoft.directory/b2cUserAttribute/allProperties/allTasks Čtení a konfigurace atributu uživatele v Azure Active Directory B2C

Externí správce zprostředkovatele identity

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Tento správce spravuje federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. V této roli můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (např. cesta ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Microsoft Entra povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:

  • Organizace Microsoft Entra pro zaměstnance a partnery: Přidání federace (např. s Gmailem) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
  • Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo s jinou organizací Microsoft Entra) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (označuje se také jako předdefinovaná zásada). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity. Pokud chcete změnit toky uživatelů, vyžaduje se omezená role správce toku uživatele B2C.
Akce Popis
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Ikona privilegovaného popisku
microsoft.directory/identityProviders/allProperties/allTasks Čtení a konfigurace zprostředkovatelů identity v Azure Active Directory B2C
Ikona privilegovaného popisku

Správce prostředků infrastruktury

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Fabric a Power BI, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců prostředků infrastruktury.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps.powerBI/allEntities/allTasks Správa všech aspektů prostředků infrastruktury a Power BI

Globální správce

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají přístup ke všem funkcím správy v Microsoft Entra ID a službám, které používají identity Microsoft Entra, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online, SharePoint Online a Skype pro firmy Online. Globální správci můžou zobrazit protokoly aktivit adresáře. Globální správci navíc můžou zvýšit přístup ke správě všech předplatných a skupin pro správu Azure. Globální správci tak můžou získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Microsoft Entra. Osoba, která se zaregistruje do organizace Microsoft Entra, se stane globálním správcem. Ve vaší společnosti může být více než jeden globální správce. Globální správci můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální správce nemůže odebrat vlastní přiřazení globálního správce. Tím zabráníte situaci, kdy má organizace nula globálních správců.

Poznámka:

Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.

Akce Popis
microsoft.azure.advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.backup/allEntities/allProperties/allTasks Správa všech aspektů služby Microsoft 365 Backup
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Správa všech aspektů fakturace Office 365
microsoft.commerce.billing/purchases/standard/read Přečtěte si služby nákupu v Centru pro správu M365.
microsoft.directory/accessReviews/allProperties/allTasks (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Správa kontrol přístupu všech kontrolovatelných prostředků v Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Vytváření a správa jednotek pro správu (včetně členů)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Vytváření a odstraňování aplikací a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
Ikona privilegovaného popisku
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Správa všech vlastností zásad podmíněného přístupu
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectorGroups/allProperties/update Aktualizace všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectorGroups/create Vytvoření skupin privátních síťových konektorů
microsoft.directory/connectorGroups/delete Odstranění skupin privátních síťových konektorů
microsoft.directory/connectors/allProperties/read Čtení všech vlastností privátních síťových konektorů
microsoft.directory/connectors/create Vytvoření privátních síťových konektorů
microsoft.directory/contacts/allProperties/allTasks Vytváření a odstraňování kontaktů a čtení a aktualizace všech vlastností
microsoft.directory/contracts/allProperties/allTasks Vytváření a odstraňování partnerských kontraktů a čtení a aktualizace všech vlastností
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizace základních nastavení zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualizace nastavení přímého připojení Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/delete Odstranění zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizace základních nastavení zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Vytvoření zásad synchronizace mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizace šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Resetování šablony zásad synchronizace mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizace šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Resetování šablony zásad přístupu mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizace omezení tenanta zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Ikona privilegovaného popisku
microsoft.directory/deletedItems/delete Trvalé odstranění objektů, které se už nedají obnovit
microsoft.directory/deletedItems/restore Obnovení obnovitelně odstraněných objektů do původního stavu
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/basic/update Aktualizace základních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
Ikona privilegovaného popisku
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizace základních vlastností zásad registrace zařízení
Ikona privilegovaného popisku
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/devices/allProperties/allTasks Vytváření a odstraňování zařízení a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/directoryRoles/allProperties/allTasks Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Vytváření a odstraňování šablon rolí Microsoft Entra a čtení a aktualizace všech vlastností
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/groups/allProperties/allTasks Vytváření a odstraňování skupin a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizace přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/assignLicense Přiřazení licence skupinám s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/create Vytváření skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/delete Odstranění přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí ke skupinám, které je možné přiřadit rolím
microsoft.directory/groupsAssignableToRoles/restore Obnovení přiřazovatelných skupin rolí
microsoft.directory/groupSettings/allProperties/allTasks Vytvoření a odstranění nastavení skupiny a čtení a aktualizace všech vlastností
microsoft.directory/groupSettingTemplates/allProperties/allTasks Vytvoření a odstranění šablon nastavení skupin a čtení a aktualizace všech vlastností
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Správa zásad hybridního ověřování v Microsoft Entra ID
Ikona privilegovaného popisku
microsoft.directory/identityProtection/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Entra ID Protection
Ikona privilegovaného popisku
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Správa všech aspektů pracovních postupů životního cyklu a úloh v ID Microsoft Entra
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností
microsoft.directory/multiTenantOrganization/basic/update Aktualizace základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/create Vytvoření organizace s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/create Vytvoření tenanta v organizaci s více tenanty
microsoft.directory/multiTenantOrganization/tenants/delete Odstranění tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizace základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/onPremisesSynchronization/basic/update Aktualizace základních informací o synchronizaci místních adresářů
microsoft.directory/onPremisesSynchronization/standard/read Čtení standardních informací o synchronizaci místních adresářů
microsoft.directory/organization/allProperties/allTasks Čtení a aktualizace všech vlastností pro organizaci
microsoft.directory/passwordHashSync/allProperties/allTasks Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/create Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/permissionGrantPolicies/basic/update Aktualizace základních vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/create Vytvoření zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/delete Odstranění zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.directory/policies/allProperties/allTasks Vytváření a odstraňování zásad a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Ikona privilegovaného popisku
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/serviceAction/activateService Může provést akci "Aktivovat službu" pro službu.
microsoft.directory/serviceAction/disableDirectoryFeature Může provést akci služby Zakázat funkci adresáře.
microsoft.directory/serviceAction/enableDirectoryFeature Může provést akci služby Povolit funkci adresáře.
microsoft.directory/serviceAction/getAvailableExtentionProperties Může provést akci služby getAvailableExtentionProperties.
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualizace základních vlastností zásad vytváření instančního objektu
microsoft.directory/servicePrincipalCreationPolicies/create Vytvoření zásad vytváření instančního objektu
microsoft.directory/servicePrincipalCreationPolicies/delete Odstranění zásad vytváření instančního objektu
microsoft.directory/servicePrincipalCreationPolicies/standard/read Čtení standardních vlastností zásad vytváření instančních objektů
microsoft.directory/servicePrincipals/allProperties/allTasks Vytváření a odstraňování instančních objektů a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udělení souhlasu pro jakékoli oprávnění k jakékoli aplikaci
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/subscribedSkus/allProperties/allTasks Nákup a správa předplatných a odstranění předplatných
microsoft.directory/tenantManagement/tenants/create Vytvoření nových tenantů v Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks Vytváření a odstraňování uživatelů a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/standard/read Čtení standardních vlastností metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/convertExternalToInternalMemberUser Převod externího uživatele na interního uživatele
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizace ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odvolání ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/create Vytvoření ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/create Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/delete Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Edge
microsoft.flow/allEntities/allTasks Správa všech aspektů Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Správa aspektů služby Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/allTasks Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu
microsoft.insights/allEntities/allProperties/allTasks Správa všech aspektů aplikace Insights
microsoft.intune/allEntities/allTasks Správa všech aspektů Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Správa všech aspektů Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Správa všech aspektů kontejnerů Služby SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Správa zdrojů učení a všech jejich vlastností v aplikaci Learning
microsoft.office365.lockbox/allEntities/allTasks Správa všech aspektů Customer Lockboxu
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Správa všech aspektů vytváření zpráv organizace v Microsoftu 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Správa všech aspektů center zabezpečení a dodržování předpisů
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Centru zabezpečení a dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Správa všech aspektů Yammeru
microsoft.permissionsManagement/allEntities/allProperties/allTasks Správa všech aspektů Správa oprávnění Microsoft Entra
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Správa všech aspektů prostředků infrastruktury a Power BI
microsoft.teams/allEntities/allProperties/allTasks Správa všech prostředků v Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy
microsoft.viva.goals/allEntities/allProperties/allTasks Správa všech aspektů cílů Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů Microsoft Defenderu pro koncový bod
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Čtení a konfigurace všech aspektů služby služba Windows Update Service

Globální čtenář

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli můžou číst nastavení a informace o správě služeb Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek jen pro čtení globálního správce. Přiřaďte globální čtenáře místo globálního správce pro plánování, audity nebo šetření. Globální čtenář můžete použít v kombinaci s dalšími omezenými rolemi správců, jako je správce Exchange, aby se práce usnadnila bez přiřazení role globálního správce. Globální čtenář spolupracuje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, webem Azure Portal a centrem pro správu Správa zařízení.

Uživatelé s touto rolí nemohou provádět následující akce:

  • V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.

Poznámka:

Role globální čtenáře má následující omezení:

  • Centrum pro správu OneDrivu – Centrum pro správu OneDrivu nepodporuje roli Globální čtenář
  • Portál Microsoft 365 Defender – Globální čtenář nemůže číst protokoly auditu SCC, prohledávat obsah nebo zobrazit bezpečnostní skóre.
  • Centrum pro správu Teams – Globální čtenář nemůže číst životní cyklus Teams, analýzy a sestavy, správu ip telefonních zařízení a katalog aplikací. Další informace najdete v tématu Použití rolí správce Microsoft Teams ke správě Teams.
  • Privileged Access Management nepodporuje roli Globální čtenář.
  • Azure Information Protection – Globální čtenář se podporuje jenom pro centrální vytváření sestav a pokud vaše organizace Microsoft Entra není na platformě sjednoceného popisování.
  • SharePoint – Globální čtenář má přístup pro čtení k rutinám PowerShellu SharePointu Online a rozhraním API pro čtení.
  • Centrum pro správu Power Platform – Globální čtenář se zatím v Centru pro správu Power Platform nepodporuje.
  • Microsoft Purview nepodporuje roli Globální čtenář.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.backup/allEntities/allProperties/read Čtení všech aspektů služby Microsoft 365 Backup
microsoft.cloudPC/allEntities/allProperties/read Čtení všech aspektů Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Čtení všech prostředků fakturace Office 365
microsoft.commerce.billing/purchases/standard/read Přečtěte si služby nákupu v Centru pro správu M365.
microsoft.directory/accessReviews/allProperties/read (Zastaralé) Čtení všech vlastností kontrol přístupu
microsoft.directory/accessReviews/definitions/allProperties/read Čtení všech vlastností kontrol přístupu všech kontrolovatelných prostředků v MICROSOFT Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Čtení všech vlastností zásad žádosti o souhlas správce v MICROSOFT Entra ID
microsoft.directory/administrativeUnits/allProperties/read Čtení všech vlastností jednotek pro správu, včetně členů
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) u všech typů aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/cloudAppSecurity/allProperties/read Čtení všech vlastností pro Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/read Čtení všech vlastností zásad podmíněného přístupu
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectors/allProperties/read Čtení všech vlastností privátních síťových konektorů
microsoft.directory/contacts/allProperties/read Čtení všech vlastností kontaktů
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/customAuthenticationExtensions/allProperties/read Čtení vlastních rozšíření ověřování
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/devices/allProperties/read Čtení všech vlastností zařízení
microsoft.directory/directoryRoles/allProperties/read Čtení všech vlastností rolí adresáře
microsoft.directory/directoryRoleTemplates/allProperties/read Čtení všech vlastností šablon rolí adresáře
microsoft.directory/domains/allProperties/read Čtení všech vlastností domén
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/groups/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) u skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groupSettings/allProperties/read Čtení všech vlastností nastavení skupiny
microsoft.directory/groupSettingTemplates/allProperties/read Čtení všech vlastností šablon nastavení skupin
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Čtení všech vlastností pracovních postupů životního cyklu a úkolů v ID Microsoft Entra
microsoft.directory/loginOrganizationBranding/allProperties/read Čtení všech vlastností přihlašovací stránky vaší organizace
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/oAuth2PermissionGrants/allProperties/read Čtení všech vlastností udělení oprávnění OAuth 2.0
microsoft.directory/organization/allProperties/read Čtení všech vlastností pro organizaci
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.directory/policies/allProperties/read Čtení všech vlastností zásad
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/roleAssignments/allProperties/read Čtení všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/read Čtení všech vlastností definic rolí
microsoft.directory/scopedRoleMemberships/allProperties/read Zobrazení členů v jednotkách pro správu
microsoft.directory/serviceAction/getAvailableExtentionProperties Může provést akci služby getAvailableExtentionProperties.
microsoft.directory/servicePrincipalCreationPolicies/standard/read Čtení standardních vlastností zásad vytváření instančních objektů
microsoft.directory/servicePrincipals/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) v servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/subscribedSkus/allProperties/read Čtení všech vlastností předplatných produktů
microsoft.directory/users/allProperties/read Čtení všech vlastností uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/standard/restrictedRead Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje pro uživatele
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.edge/allEntities/allProperties/read Čtení všech aspektů Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Čtení aspektů služby Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/read Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli.
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/read Čtení deklarací záruce hardwaru Microsoftu
microsoft.insights/allEntities/allProperties/read Čtení všech aspektů Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Čtení všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Čtení entit a oprávnění kontejnerů Služby SharePoint Embedded
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Čtení všech vlastností v centrech zabezpečení a dodržování předpisů
microsoft.office365.securityComplianceCenter/allEntities/read Čtení standardních vlastností v Centru zabezpečení a dodržování předpisů Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/read Čtení všech aspektů Yammeru
microsoft.permissionsManagement/allEntities/allProperties/read Čtení všech aspektů Správa oprávnění Microsoft Entra
microsoft.teams/allEntities/allProperties/read Čtení všech vlastností Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Čtení všech aspektů virtuálních návštěv
microsoft.viva.goals/allEntities/allProperties/read Čtení všech aspektů cílů Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/read Přečtěte si všechny aspekty aplikace Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Čtení všech aspektů služby služba Windows Update Service

Globální správce zabezpečeného přístupu

Přiřaďte roli globálního správce zabezpečeného přístupu uživatelům, kteří potřebují:

  • Vytváření a správa všech aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup
  • Správa přístupu k veřejným a privátním koncovým bodům

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde spravovat podnikové aplikace, registrace aplikací, podmíněný přístup nebo nastavení proxy aplikací

Další informace

Akce Popis
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applications/applicationProxy/read Čtení všech vlastností proxy aplikací
microsoft.directory/applications/owners/read Čtení vlastníků aplikací
microsoft.directory/applications/policies/read Čtení zásad aplikací
microsoft.directory/applications/standard/read Čtení standardních vlastností aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin privátních síťových konektorů
microsoft.directory/connectors/allProperties/read Čtení všech vlastností privátních síťových konektorů
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce skupin

Uživatelé v této roli můžou vytvářet nebo spravovat skupiny a jejich nastavení, jako je pojmenování a zásady vypršení platnosti. Je důležité vědět, že přiřazování uživatele k této roli mu kromě Outlooku umožňuje spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také konkrétní úlohy, jako jsou Centra pro správu Teams a SharePointu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/deletedItems.groups/delete Trvalé odstranění skupin, které se už nedají obnovit
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizace skupin Microsoft Entra tak, aby byly zapsány zpět do místního prostředí pomocí microsoft Entra Connect
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Pozvaný host

Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B, když členové mohou pozvat nastavení uživatele nastavena na Ne. Další informace o spolupráci B2B na webu About Microsoft Entra B2B collaboration. Nezahrnuje žádná další oprávnění.

Akce Popis
microsoft.directory/users/appRoleAssignments/read Čtení přiřazení rolí aplikace pro uživatele
microsoft.directory/users/deviceForResourceAccount/read Čtení zařízeníForResourceAccount uživatelů
microsoft.directory/users/directReports/read Čtení přímých sestav pro uživatele
microsoft.directory/users/invitedBy/read Přečtěte si uživatele, který pozval externího uživatele do tenanta.
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/licenseDetails/read Čtení podrobností o licencích uživatelů
microsoft.directory/users/manager/read Číst nadřízený uživatelů
microsoft.directory/users/memberOf/read Čtení členství ve skupinách uživatelů
microsoft.directory/users/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u uživatelů
microsoft.directory/users/ownedDevices/read Čtení vlastněných zařízení uživatelů
microsoft.directory/users/ownedObjects/read Čtení vlastněných objektů uživatelů
microsoft.directory/users/photo/read Přečíst fotku uživatelů
microsoft.directory/users/registeredDevices/read Čtení registrovaných zařízení uživatelů
microsoft.directory/users/scopedRoleMemberOf/read Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu
microsoft.directory/users/sponzors/read Přečíst sponzory uživatelů
microsoft.directory/users/standard/read Čtení základníchvlastnostíchch

Správce helpdesku

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zrušení platnosti obnovovacího tokenu vynutí, aby se uživatel znovu přihlásil. Určuje, jestli správce helpdesku může resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce helpdesku resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.

Důležité

Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nemají udělená správcům helpdesku. Prostřednictvím této cesty může správce helpdesku předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.

Delegování oprávnění správce pro podmnožinu uživatelů a použití zásad na podmnožinu uživatelů je možné u jednotek pro správu.

Tato role se dříve jmenovala Správce hesel na webu Azure Portal. Přejmenoval se na správce helpdesku, aby se shodoval s existujícím názvem v rozhraní Microsoft Graph API a Microsoft Graph PowerShellu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce hybridní identity

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z Active Directory do Microsoft Entra ID pomocí zřizování cloudu a spravovat Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Connect Health. Uživatelé můžou pomocí této role také řešit potíže a monitorovat protokoly.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/cloudProvisioning/allProperties/allTasks Přečtěte si a nakonfigurujte všechny vlastnosti služby zřizování cloudu Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/domains/allProperties/read Čtení všech vlastností domén
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Ikona privilegovaného popisku
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Správa zásad hybridního ověřování v Microsoft Entra ID
Ikona privilegovaného popisku
microsoft.directory/onPremisesSynchronization/basic/update Aktualizace základních informací o synchronizaci místních adresářů
microsoft.directory/onPremisesSynchronization/standard/read Čtení standardních informací o synchronizaci místních adresářů
microsoft.directory/organization/dirSync/update Aktualizace vlastnosti synchronizace adresáře organizace
microsoft.directory/passwordHashSync/allProperties/allTasks Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/users/authorizationInfo/update Aktualizace vlastnosti ID uživatelů s více hodnotami certifikátu
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce zásad správného řízení identit

Uživatelé s touto rolí můžou spravovat konfiguraci zásad správného řízení ID Microsoft Entra, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, zajištění schválení a kontroly přístupu a odebrání uživatelů typu host, kteří už nepotřebují přístup.

Akce Popis
microsoft.directory/accessReviews/allProperties/allTasks (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/create Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu

Správce přehledů

Uživatelé v této roli mají přístup k celé sadě možností správy v aplikaci Microsoft Viva Insights. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení správce přehledů.

Další informace

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.insights/allEntities/allProperties/allTasks Správa všech aspektů aplikace Insights
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Analytik přehledů

Přiřaďte roli Analytik přehledů uživatelům, kteří potřebují:

  • Analýza dat v aplikaci Microsoft Viva Insights, ale nemůže spravovat žádná nastavení konfigurace
  • Vytváření, správa a spouštění dotazů
  • Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Další informace

Akce Popis
microsoft.insights/queries/allProperties/allTasks Spouštění a správa dotazů v nástroji Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Přehledy obchodního vedoucího programu

Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Insights. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což je odpovědnost za roli Správce přehledů.

Další informace

Akce Popis
microsoft.insights/programs/allProperties/update Nasazení a správa programů v aplikaci Insights
microsoft.insights/reports/allProperties/read Zobrazení sestav a řídicího panelu v aplikaci Insights

Správce Intune

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají v Microsoft Intune Online globální oprávnění, když je služba k dispozici. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) v Microsoft Intune.

Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Správce Intune ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky ani členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří, která je součástí svých oprávnění koncových uživatelů. Každá skupina Office (ne skupina zabezpečení), kterou vytvoří, by se tedy měla spočítat do kvóty 250.

Poznámka:

V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Intune. Na webu Azure Portal se jmenuje Správce Intune.

Akce Popis
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/devices/basic/update Aktualizace základních vlastností na zařízeních
microsoft.directory/devices/create Vytvoření zařízení (registrace v Microsoft Entra ID)
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních
microsoft.directory/devices/extensionAttributeSet2/update Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních
microsoft.directory/devices/extensionAttributeSet3/update Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních
microsoft.directory/devices/registeredOwners/update Aktualizace registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/update Aktualizace registrovaných uživatelů zařízení
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/visibility/update Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.intune/allEntities/allTasks Správa všech aspektů Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Kaizala

Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsfot Kaizala, když je služba přítomná, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s přijetím a používáním Kaizaly členy organizace a obchodními sestavy vygenerovanými pomocí akcí Kaizala.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce znalostí

Uživatelé v této roli mají úplný přístup ke všem znalostem, znalostem a inteligentním funkcím nastavení v Centrum pro správu Microsoftu 365. Mají obecný přehled o sadě produktů, podrobností o licencování a mají odpovědnost za řízení přístupu. Správce znalostí může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.

Akce Popis
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník.
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Správa zdrojů učení a všech jejich vlastností v aplikaci Learning
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Čtení všech vlastností popisků citlivosti v centrech zabezpečení a dodržování předpisů
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce znalostní báze

Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.

Akce Popis
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník.
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce licencí

Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění využití u uživatelů. Role neuděluje možnost nakupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny nebo vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/usageLocation/update Aktualizace umístění využití uživatelů
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce pracovních postupů životního cyklu

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Přiřaďte roli správce pracovních postupů životního cyklu uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření a správa všech aspektů pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID
  • Kontrola provádění plánovaných pracovních postupů
  • Spuštění pracovního postupu na vyžádání
  • Kontrola protokolů spouštění pracovních postupů
Akce Popis
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Správa všech aspektů pracovních postupů životního cyklu a úloh v ID Microsoft Entra
microsoft.directory/organization/strongAuthentication/read Čtení silných vlastností ověřování organizace
microsoft.directory/users/lifeCycleInfo/read Čtení informací o životním cyklu uživatelů, například employeeLeaveDateTime
Ikona privilegovaného popisku

Čtečka ochrany osobních údajů v Centru zpráv

Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů dat. Čtečky ochrany osobních údajů v Centru zpráv získají e-mailová oznámení, včetně těch, které se týkají ochrany osobních údajů v datech, a můžou odběr odběru odběru odběru pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst jenom globální správce a čtenář ochrany osobních údajů centra zpráv. Tato role navíc obsahuje možnost zobrazovat skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Čtečka centra zpráv

Uživatelé v této roli můžou monitorovat oznámení a rady aktualizací stavu v Centru zpráv pro svou organizaci na nakonfigurovaných službách, jako jsou Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostanou týdenní přehledy e-mailů o příspěvcích, aktualizacích a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Microsoft Entra ID budou mít uživatelé přiřazené k této roli přístup jen pro čtení ke službám Microsoft Entra, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce migrace Microsoftu 365

Přiřaďte roli Správce migrace Microsoftu 365 uživatelům, kteří potřebují provádět následující úlohy:

  • Použití Migration Manageru v Centrum pro správu Microsoftu 365 ke správě migrace obsahu do Microsoftu 365, včetně Teams, OneDrive pro firmy a sharepointových webů, z Disku Google, Dropboxu, Boxu a Egnyte
  • Vyberte zdroje migrace, vytvořte inventáře migrace (například seznamy uživatelů disku Google), naplánujte a spusťte migrace a stáhněte si sestavy.
  • Vytvořte nové sharepointové weby, pokud cílové weby ještě neexistují, vytvořte sharepointové seznamy pod weby pro správu SharePointu a vytvořte a aktualizujte položky v sharepointových seznamech.
  • Správa nastavení projektu migrace a životního cyklu migrace pro úkoly
  • Správa mapování oprávnění ze zdroje do cíle

Poznámka:

Tato role neumožňuje migrovat ze zdrojů sdílených složek pomocí Centra pro správu SharePointu. Roli správce SharePointu můžete použít k migraci ze zdrojů sdílených složek.

Další informace

Akce Popis
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Místní správce zařízení připojený k Microsoft Entra

Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech zařízeních s Windows 10 připojených k Microsoft Entra ID. Nemají možnost spravovat objekty zařízení v Microsoft Entra ID.

Akce Popis
microsoft.directory/groupSettings/standard/read Čtení základních vlastností v nastavení skupiny
microsoft.directory/groupSettingTemplates/standard/read Čtení základních vlastností v šablonách nastavení skupin

Správce záruky hardwaru společnosti Microsoft

Přiřaďte roli Správce hardwarové záruky společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
  • Hledání a čtení otevřených nebo uzavřených nároků na záruku
  • Hledat a číst záruční nároky podle sériového čísla
  • Vytvoření, čtení, aktualizace a odstranění dodacích adres
  • Přečtěte si stav expedice pro otevřené záruky
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
  • Přečtěte si oznámení centra zpráv v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Akce Popis
microsoft.hardware.support/shippingAddress/allProperties/allTasks Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Specialista microsoftu na záruku hardwaru

Přiřaďte roli Specialista na hardware společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
  • Přečtěte si nároky na záruku, které vytvořili.
  • Čtení a aktualizace existujících dodacích adres
  • Přečtěte si stav expedice pro otevřené nároky na záruku, které vytvořili.
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Akce Popis
microsoft.hardware.support/shippingAddress/allProperties/read Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli.
microsoft.hardware.support/warrantyClaims/createAsOwner Vytvoření deklarací záruce hardwaru Microsoftu, kde je tvůrce vlastníkem
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/read Čtení deklarací záruce hardwaru Microsoftu

Správce moderního obchodování

Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jakékoli jiné použití. Podrobnosti najdete níže.

Role Správce moderního obchodu dává určitým uživatelům oprávnění pro přístup k Centrum pro správu Microsoftu 365 a zobrazuje levé navigační položky pro domovskou stránku, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen rolemi specifickými pro obchodování přiřazené uživatelům ke správě produktů, které si koupili pro sebe nebo vaši organizaci. Může to zahrnovat úkoly, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.

Uživatelé s rolí Moderní správce obchodu mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního správce ani správce fakturace, které se používají pro přístup k Centru pro správu.

Kdy je přiřazena role Správce moderního obchodování?

  • Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty nákupem nebo registrací sami. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří provádějí samoobslužný nákup, se přiřazují role v komerčním systému a roli Moderní správce obchodu, aby mohli spravovat nákupy v Centru pro správu. Správci můžou prostřednictvím PowerShellu blokovat samoobslužné nákupy (pro Prostředky infrastruktury, Power BI, Power Apps, Power Automate). Další informace najdete v nejčastějších dotazech k samoobslužným nákupům.
  • Nákupy z komerčního marketplace Microsoftu – podobně jako samoobslužný nákup, když uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se mu role Moderní správce obchodu, pokud nemá roli globálního správce nebo správce fakturace. V některých případech můžou být uživatelé zablokovaní v provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
  • Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci, která umožňuje nakupovat produkty a služby Microsoftu. Pokud osoba, která návrh přijímá, nemá v ID Microsoft Entra roli globálního správce ani správce fakturace, přiřadí se mu role specifická pro obchod, která návrh dokončí, i roli moderního správce obchodu pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich obchodní rolí.
  • Obchodní role – Někteří uživatelé mají přiřazené role specifické pro obchod. Pokud uživatel není globálním správcem nebo správcem fakturace, získá roli moderního správce obchodu, aby mohl získat přístup k Centru pro správu.

Pokud uživatel nepřiřadí roli Správce moderního obchodu, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy správy předplatných.

Akce Popis
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Správa všech aspektů centra Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce sítě

Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na telemetrii sítě z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatelů. Tato role umožňuje upravit zjištěná umístění uživatelů a konfiguraci parametrů sítě pro tato umístění, aby se usnadnila vylepšená měření telemetrie a doporučení k návrhu.

Akce Popis
microsoft.office365.network/locations/allProperties/allTasks Správa všech aspektů síťových umístění
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce aplikací Office

Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoftu 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavu související s aplikace Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli mohou také spravovat komunikaci nových funkcí v aplikace Office.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce brandingu organizace

Přiřaďte roli správce brandingu organizace uživatelům, kteří potřebují provádět následující úlohy:

  • Správa všech aspektů brandingu organizace v tenantovi
  • Čtení, vytváření, aktualizace a odstraňování motivů brandingu
  • Správa výchozího motivu brandingu a všech motivů lokalizace brandingu
Akce Popis
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností

Schvalovatel zpráv organizace

Přiřaďte roli schvalovatele zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:

  • Kontrola, schválení nebo odmítnutí nových organizačních zpráv pro doručování v Centrum pro správu Microsoftu 365 před jejich odesláním uživatelům pomocí platformy Organizační zprávy Microsoftu 365
  • Čtení všech aspektů organizačních zpráv
  • Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
Akce Popis
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update Schválení nebo odmítnutí nových zpráv organizace pro doručení v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Zapisovatel zpráv organizace

Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:

  • Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Čtení výsledků doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny
Akce Popis
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Správa všech aspektů vytváření zpráv organizace v Microsoftu 365
microsoft.office365.usageReports/allEntities/standard/read Čtení agregovaných sestav využití Office 365 na úrovni tenanta
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podpora partnerské vrstvy 1

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tuto roli byste neměli používat, protože je zastaralá.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Ikona privilegovaného popisku
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/create Přidat uživatele
Ikona privilegovaného popisku
microsoft.directory/users/delete Odstranění uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podpora partnerské vrstvy 2

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních správců). Tuto roli byste neměli používat, protože je zastaralá.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Ikona privilegovaného popisku
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/organization/basic/update Aktualizace základních vlastností v organizaci
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/create Přidat uživatele
Ikona privilegovaného popisku
microsoft.directory/users/delete Odstranění uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce hesel

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. Určuje, jestli správce hesel může resetovat heslo uživatele, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce hesel resetovat hesla, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Akce Popis
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce správy oprávnění

Přiřaďte roli Správce správy oprávnění uživatelům, kteří potřebují provádět následující úlohy:

  • Správa všech aspektů Správa oprávnění Microsoft Entra, když je služba k dispozici

Další informace o rolích a zásadách správy oprávnění najdete v tématu Zobrazení informací o rolích a zásadách.

Akce Popis
microsoft.permissionsManagement/allEntities/allProperties/allTasks Správa všech aspektů Správa oprávnění Microsoft Entra

Správce Power Platform

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toky, zásady ochrany před únikem informací. Uživatelé s touto rolí navíc můžou spravovat lístky podpory a monitorovat stav služby.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.flow/allEntities/allTasks Správa všech aspektů Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps

Správce tiskárny

Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Universal Print, včetně nastavení konektoru pro univerzální tisk. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Správci tiskárny mají také přístup k tisk sestavám.

Akce Popis
microsoft.azure.print/allEntities/allProperties/allTasks Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v aplikaci Microsoft Print

Technik tiskárny

Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Universal Print. Můžou si také přečíst všechny informace o konektoru. Klíčovým úkolem, který nemůže technik tiskárny provést, je nastavit uživatelská oprávnění k tiskárnám a sdílení tiskáren.

Akce Popis
microsoft.azure.print/connectors/allProperties/read Čtení všech vlastností konektorů v aplikaci Microsoft Print
microsoft.azure.print/printers/allProperties/read Čtení všech vlastností tiskáren v aplikaci Microsoft Print
microsoft.azure.print/printers/basic/update Aktualizace základních vlastností tiskáren v aplikaci Microsoft Print
microsoft.azure.print/printers/register Registrace tiskáren v Microsoft Printu
microsoft.azure.print/printers/unregister Zrušení registrace tiskáren v aplikaci Microsoft Print

Správce privilegovaného ověřování

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Přiřaďte roli Správce privilegovaného ověřování uživatelům, kteří potřebují:

  • Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních správců.
  • Odstraňte nebo obnovte všechny uživatele, včetně globálních správců. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vynuťte, aby se uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO) a odvolali si vícefaktorové ověřování na zařízení a při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
  • Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Vícefaktorové ověřování pro jednotlivé uživatele nejde spravovat na starším portálu pro správu vícefaktorového ověřování.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Správce ověřování Ano pro některé uživatele Ano pro některé uživatele Yes No No Ano pro některé uživatele Ano pro některé uživatele
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Správce zásad ověřování No Ano Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele

Důležité

Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům ověřování. Prostřednictvím této cesty může správce ověřování předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authenticationMethods/standard/read Čtení standardních vlastností metod ověřování pro uživatele
Ikona privilegovaného popisku
microsoft.directory/users/authorizationInfo/update Aktualizace vlastnosti ID uživatelů s více hodnotami certifikátu
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/delete Odstranění uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce privilegovaných rolí

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat přiřazení rolí v Microsoft Entra ID i v rámci služby Microsoft Entra Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k rolím Microsoft Entra. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.

Důležité

Tato role uděluje možnost spravovat přiřazení pro všechny role Microsoft Entra, včetně role globálního správce. Tato role nezahrnuje žádné další privilegované schopnosti v MICROSOFT Entra ID, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli ale můžou udělit sami sobě nebo jiným dalším oprávněním tím, že přiřazují další role.

Akce Popis
microsoft.directory/accessReviews/definitions.applications/allProperties/read Čtení všech vlastností kontroly přístupu přiřazení rolí aplikace v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Správa kontrol přístupu pro přiřazení rolí Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aktualizace všech vlastností kontrol přístupu pro členství ve skupinách, které lze přiřadit k rolím Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Vytváření kontrol přístupu pro členství ve skupinách, které je možné přiřadit k rolím Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Odstranění kontrol přístupu pro členství ve skupinách, které je možné přiřadit k rolím Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks Vytváření a správa jednotek pro správu (včetně členů)
microsoft.directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
Ikona privilegovaného popisku
microsoft.directory/directoryRoles/allProperties/allTasks Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizace přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/assignLicense Přiřazení licence skupinám s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/create Vytváření skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/delete Odstranění přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí ke skupinám, které je možné přiřadit rolím
microsoft.directory/groupsAssignableToRoles/restore Obnovení přiřazovatelných skupin rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/permissionGrantPolicies/allProperties/read Čtení všech vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/allProperties/update Aktualizace všech vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/create Vytvoření zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/delete Odstranění zásad udělení oprávnění
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností ve službě Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udělení souhlasu pro jakékoli oprávnění k jakékoli aplikaci
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Čtenář sestav

Uživatelé s touto rolí mohou zobrazit data sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Prostředcích infrastruktury a Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlašování, protokolům auditu a sestavám aktivit v Microsoft Entra ID a datech vrácených rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centerm pro správu pro konkrétní produkty, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce vyhledávání

Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Kromě toho můžou tito uživatelé zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Editor vyhledávání

Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, otázek a umístění.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce zabezpečení

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením na portálu Microsoft 365 Defender, microsoft Entra ID Protection, ověřování Microsoft Entra, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Monitorování zásad souvisejících se zabezpečením napříč službami Microsoftu 365
Správa bezpečnostních hrozeb a výstrah
Zobrazení sestav
Microsoft Entra ID Protection Všechna oprávnění role Čtenář zabezpečení
Provádění všech operací ochrany ID s výjimkou resetování hesel
Privileged Identity Management Všechna oprávnění role Čtenář zabezpečení
Nejde spravovat přiřazení nebo nastavení rolí Microsoft Entra
Portál pro dodržování předpisů Microsoft Purview Správa zásad zabezpečení
Zobrazení, prošetření a reakce na bezpečnostní hrozby
Zobrazení sestav
Azure Advanced Threat Protection Monitorování podezřelých aktivit zabezpečení a reakce na ně
Microsoft Defender for Endpoint Přiřazení rolí
Správa skupin počítačů
Konfigurace detekce hrozeb koncového bodu a automatizovaná náprava
Zobrazení, prošetření a reakce na upozornění
Zobrazení inventáře počítačů nebo zařízení
Intune Mapuje se na roli Intune Endpoint Security Manager.
Microsoft Defender for Cloud Apps Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Inteligentní uzamčení Definujte prahovou hodnotu a dobu trvání uzamčení, když dojde k neúspěšným událostem přihlášení.
Ochrana heslem Nakonfigurujte vlastní zakázaný seznam hesel nebo místní ochranu heslem.
Synchronizace mezi tenanty Nakonfigurujte nastavení přístupu mezi tenanty pro uživatele v jiném tenantovi. Správci zabezpečení nemůžou přímo vytvářet a odstraňovat uživatele, ale můžou nepřímo vytvářet a odstraňovat synchronizované uživatele z jiného tenanta, když jsou oba tenanti nakonfigurovaní pro synchronizaci mezi tenanty, což je privilegované oprávnění.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/create Vytváření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizace vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizace základních nastavení zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualizace nastavení přímého připojení Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/delete Odstranění zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizace základních nastavení zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Vytvoření zásad synchronizace mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizace šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Resetování šablony zásad synchronizace mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizace šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Resetování šablony zásad přístupu mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizace omezení tenanta zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Ikona privilegovaného popisku
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Aktualizace všech prostředků ve službě Microsoft Entra ID Protection
Ikona privilegovaného popisku
microsoft.directory/multiTenantOrganization/basic/update Aktualizace základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/create Vytvoření organizace s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/create Vytvoření tenanta v organizaci s více tenanty
microsoft.directory/multiTenantOrganization/tenants/delete Odstranění tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizace základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/policies/basic/update Aktualizace základních vlastností zásad
Ikona privilegovaného popisku
microsoft.directory/policies/create Vytvoření zásad v Microsoft Entra ID
microsoft.directory/policies/delete Odstranění zásad v Microsoft Entra ID
microsoft.directory/policies/owners/update Aktualizace vlastníků zásad
microsoft.directory/policies/tenantDefault/update Aktualizace výchozích zásad organizace
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Ikona privilegovaného popisku
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.protectionCenter/allEntities/basic/update Aktualizace základních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/allEntities/standard/read Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Vytváření a správa šablon simulace útoků v simulátoru útoku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Operátor zabezpečení

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Všechna oprávnění role Čtenář zabezpečení
Zobrazení, prošetření výstrah zabezpečení a reakce na ně
Správa nastavení zabezpečení na portálu Microsoft 365 Defender
Microsoft Entra ID Protection Všechna oprávnění role Čtenář zabezpečení
Proveďte všechny operace ochrany ID s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněními.
Privileged Identity Management Všechna oprávnění role Čtenář zabezpečení
Portál pro dodržování předpisů Microsoft Purview Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Microsoft Defender for Endpoint Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune Všechna oprávnění role Čtenář zabezpečení
Microsoft Defender for Cloud Apps Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Akce Popis
microsoft.azure.advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Entra ID Protection
Ikona privilegovaného popisku
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.intune/allEntities/read Čtení všech prostředků v Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Centru zabezpečení a dodržování předpisů Office 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů Microsoft Defenderu pro koncový bod

Čtenář zabezpečení

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Microsoft Entra a v Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365
Zobrazení bezpečnostních hrozeb a výstrah
Zobrazení sestav
Microsoft Entra ID Protection Zobrazení všech sestav ochrany ID a přehledu
Privileged Identity Management Má přístup jen pro čtení ke všem informacím, které se zobrazí v Microsoft Entra Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Microsoft Entra a kontroly zabezpečení.
Microsoft Entra Privileged Identity Management se nemůže zaregistrovat ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může někdo v této roli aktivovat další role (například správce privilegovaných rolí), pokud má uživatel nárok na ně.
Portál pro dodržování předpisů Microsoft Purview Zobrazení zásad zabezpečení
Zobrazení a zkoumání bezpečnostních hrozeb
Zobrazení sestav
Microsoft Defender for Endpoint Zobrazení a zkoumání výstrah
Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nelze provádět změny.
Microsoft Defender for Cloud Apps Má oprávnění ke čtení.
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/accessReviews/definitions/allProperties/read Čtení všech vlastností kontrol přístupu všech kontrolovatelných prostředků v MICROSOFT Entra ID
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Ikona privilegovaného popisku
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/policies/owners/read Čtení vlastníků zásad
microsoft.directory/policies/policyAppliedTo/read Read policies.policyAppliedTo – vlastnost
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.networkAccess/allEntities/allProperties/read Čtení všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.protectionCenter/allEntities/standard/read Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Čtení všech vlastností datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Čtení všech vlastností šablon simulace útoku v simulátoru útoku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce podpory služeb

Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv na webu Azure Portal a Centrum pro správu Microsoftu 365. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

Tato role se dříve jmenovala Správce služeb na webu Azure Portal a Centrum pro správu Microsoftu 365. Přejmenoval se na správce podpory služeb, aby se shodoval s existujícím názvem v rozhraní Microsoft Graph API a v Prostředí Microsoft Graph PowerShell.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce SharePointu

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služby SharePoint. Na webu Azure Portal se jmenuje Správce SharePointu.

Poznámka:

Tato role také uděluje vymezená oprávnění k rozhraní Microsoft Graph API pro Microsoft Intune, což umožňuje správu a konfiguraci zásad souvisejících s prostředky SharePointu a OneDrivu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Vytvoření a správa zásad ochrany OneDrivu ve službě Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Čtení a konfigurace relace obnovení pro OneDrive ve službě Microsoft 365 Backup
microsoft.backup/restorePoints/sites/allProperties/allTasks Správa všech bodů obnovení přidružených k vybraným sharepointovým webům v zálohování M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Správa všech bodů obnovení přidružených k vybraným účtům OneDrivu ve službě Zálohování M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Vytvoření a správa zásad ochrany SharePointu ve službě Microsoft 365 Backup
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Čtení a konfigurace relace obnovení pro SharePoint ve službě Microsoft 365 Backup
microsoft.backup/siteProtectionUnits/allProperties/allTasks Správa webů přidaných do zásad ochrany SharePointu ve službě Microsoft 365 Backup
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Správa webů přidaných do relace obnovení sharepointu v Microsoft 365 Backup
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Správa účtů přidaných do zásad ochrany OneDrivu ve službě Microsoft 365 Backup
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Správa účtů přidaných k relaci obnovení OneDrivu ve službě Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce služby SharePoint Embedded

Přiřaďte roli správce služby SharePoint Embedded uživatelům, kteří potřebují provádět následující úlohy:

  • Provádění všech úloh pomocí PowerShellu, rozhraní Microsoft Graph API nebo Centra pro správu SharePointu
  • Správa, konfigurace a údržba kontejnerů Služby SharePoint Embedded
  • Vytvoření výčtu a správa kontejnerů Služby SharePoint Embedded
  • Vytvoření výčtu a správa oprávnění pro kontejnery Služby SharePoint Embedded
  • Správa úložiště kontejnerů Služby SharePoint Embedded v tenantovi
  • Přiřazení zásad zabezpečení a dodržování předpisů v kontejnerech Služby SharePoint Embedded
  • Použití zásad zabezpečení a dodržování předpisů u kontejnerů SharePoint Embedded v tenantovi

Další informace

Akce Popis
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Správa všech aspektů kontejnerů Služby SharePoint Embedded
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

správce Skype pro firmy

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba přítomna, a také spravovat atributy uživatele specifické pro Skype v Microsoft Entra ID. Tato role navíc umožňuje spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams nebo nemůže spouštět rutiny Teams PowerShellu. Další informace najdete v tématu Skype pro firmy informace o licencování online správců a Teams na Skype pro firmy doplňkových licencích.

Poznámka:

V rozhraní Microsoft Graph API a Microsoft Graph PowerShellu se tato role jmenuje Správce služeb Lyncu. Na webu Azure Portal se jmenuje Skype pro firmy Administrator.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Teams

Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams a příslušných modulů PowerShellu Skype pro firmy. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/externalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/create Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/allEntities/allProperties/allTasks Správa všech prostředků v Teams

Správce komunikace Teams

Uživatelé v této roli mohou spravovat aspekty úloh Microsoft Teams souvisejících s hlasem a telefonií. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup ke sadě nástrojů analýzy hovorů.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)
microsoft.teams/meetings/allProperties/allTasks Správa schůzek, včetně zásad schůzek, konfigurací a konferenčních mostů
microsoft.teams/voice/allProperties/allTasks Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení

Technik podpory komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu hovoru pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)

Specialista na podporu komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit pouze podrobnosti o uživateli při volání konkrétního uživatele, který hledal. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/standard/read Čtení základních dat na řídicím panelu kvality volání (CQD)

Správce zařízení Teams

Uživatelé s touto rolí můžou spravovat zařízení certifikovaná aplikací Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení najednou a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, vytvoření a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.

Akce Popis
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/devices/standard/read Správa všech aspektů zařízení certifikovaných v Teams, včetně zásad konfigurace

Správce telefonních služeb Teams

Přiřaďte roli správce telefonie Teams uživatelům, kteří potřebují provádět následující úlohy:

  • Správa hlasových a telefonních hovorů, včetně zásad volání, správy telefonních čísel a přiřazení a hlasových aplikací
  • Přístup pouze k sestavám využití veřejné telefonní sítě (PSTN) z Centra pro správu Teams
  • Zobrazit stránku profilu uživatele
  • Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365

Další informace

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)
microsoft.teams/voice/allProperties/allTasks Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení

Tvůrce tenanta

Přiřaďte roli Tvůrce tenanta uživatelům, kteří potřebují provádět následující úlohy:

  • Vytvoření tenantů Microsoft Entra i Azure Active Directory B2C i v případě, že je přepínač pro vytvoření tenanta vypnutý v uživatelských nastaveních

Poznámka:

Tvůrci tenantů budou mít přiřazenou roli globálního správce u nových tenantů, které vytvoří.

Akce Popis
microsoft.directory/tenantManagement/tenants/create Vytvoření nových tenantů v Microsoft Entra ID

Čtenář souhrnných sestav využití

Přiřaďte roli čtenáře souhrnných sestav využití uživatelům, kteří potřebují v Centrum pro správu Microsoftu 365 provádět následující úlohy:

  • Zobrazení sestav využití a skóre přijetí
  • Čtení přehledů organizace, ale ne identifikovatelných osobních údajů (PII) uživatelů

Tato role umožňuje uživatelům zobrazit pouze data na úrovni organizace s následujícími výjimkami:

  • Členové můžou zobrazit data a nastavení správy uživatelů.
  • Uživatelé typu host, kteří mají přiřazenou tuto roli, nemůžou zobrazit data a nastavení správy uživatelů.
Akce Popis
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/standard/read Čtení agregovaných sestav využití Office 365 na úrovni tenanta
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce uživatelů

Ikona privilegovaného popisku

Jedná se o privilegovanou roli. Přiřaďte roli Správce uživatelů uživatelům, kteří potřebují:

Oprávnění Více informací
Vytvoření uživatelů
Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců Kdo může provádět citlivé akce
Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele Kdo může provádět citlivé akce
Zakázání nebo povolení některých uživatelů Kdo může provádět citlivé akce
Odstranění nebo obnovení některých uživatelů Kdo může provádět citlivé akce
Vytváření a správa uživatelských zobrazení
Vytvoření a správa všech skupin
Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců
Resetování hesel Kdo může resetovat hesla
Zneplatnění obnovovacích tokenů Kdo může resetovat hesla
Aktualizace klíčů zařízení (FIDO)
Aktualizace zásad vypršení platnosti hesel
Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Monitorování stavu služby

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde spravovat vícefaktorové ověřování.
  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
  • Sdílené poštovní schránky nelze spravovat.
  • Nelze upravit bezpečnostní otázky týkající se operace resetování hesla.

Důležité

Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena správcům uživatelů. Prostřednictvím této cesty může správce uživatele předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správci v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Čtení všech vlastností kontrol přístupu pro přiřazení rolí Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/create Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizace skupin Microsoft Entra tak, aby byly zapsány zpět do místního prostředí pomocí microsoft Entra Connect
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Ikona privilegovaného popisku
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/convertExternalToInternalMemberUser Převod externího uživatele na interního uživatele
microsoft.directory/users/create Přidat uživatele
Ikona privilegovaného popisku
microsoft.directory/users/delete Odstranění uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/disable Zakázání uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/enable Povolení uživatelů
Ikona privilegovaného popisku
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Ikona privilegovaného popisku
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Ikona privilegovaného popisku
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/sponzors/update Aktualizace sponzorů uživatelů
microsoft.directory/users/usageLocation/update Aktualizace umístění využití uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Ikona privilegovaného popisku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce úspěchu uživatelského prostředí

Přiřaďte roli Správce úspěchu uživatelského prostředí uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení sestav využití na úrovni organizace pro Aplikace a služby Microsoftu 365, ale ne podrobnosti o uživateli
  • Podívejte se na zpětnou vazbu k produktům vaší organizace, výsledky průzkumu NET Promoter Score (NPS) a nápovědy k identifikaci komunikačních a školicích příležitostí.
  • Čtení příspěvků centra zpráv a dat o stavu služby

Další informace

Akce Popis
microsoft.commerce.billing/purchases/standard/read Přečtěte si služby nákupu v Centru pro správu M365.
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/standard/read Čtení agregovaných sestav využití Office 365 na úrovni tenanta
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce virtuálních návštěv

Uživatelé s touto rolí můžou provádět následující úlohy:

  • Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
  • Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365, Prostředcích infrastruktury a Power BI
  • Zobrazení funkcí a nastavení v Centrum pro správu Microsoftu 365, ale nemůže upravit žádná nastavení

Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online a videoobjednávky pro pedagogy a účastníky. Vytváření sestav využití může například ukázat, jak odesílání textových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují u událostí.

Akce Popis
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy

Viva Goals Administrator

Přiřaďte roli Správce cílů Viva uživatelům, kteří potřebují provádět následující úlohy:

  • Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
  • Konfigurace nastavení správce cílů Microsoft Viva
  • Čtení informací o tenantovi Microsoft Entra
  • Monitorování stavu služby Microsoft 365
  • Vytváření a správa žádostí o služby Microsoft 365

Další informace najdete v tématu Role a oprávnění v nástroji Viva Goals a Úvod do cílů Microsoft Viva.

Akce Popis
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.viva.goals/allEntities/allProperties/allTasks Správa všech aspektů cílů Microsoft Viva

Viva Pulse Administrator

Přiřaďte roli Viva Pulse Administrator uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení a konfigurace všech nastavení Viva Pulse
  • Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
  • Čtení a konfigurace služby Azure Service Health
  • Vytváření a správa lístků podpora Azure
  • Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
  • Čtení sestav využití v Centrum pro správu Microsoftu 365

Další informace najdete v tématu Přiřazení správce Viva Pulse v Centrum pro správu Microsoftu 365.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Viva Pulse

Správce Windows 365

Uživatelé s touto rolí mají při přítomnosti služby globální oprávnění k prostředkům Windows 365. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.

Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správci nemůžou aktualizovat vlastníky ani členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncových uživatelů. Takže každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do kvóty 250.

Přiřaďte roli Správce Systému Windows 365 uživatelům, kteří potřebují provádět následující úlohy:

  • Správa cloudových počítačů s Windows 365 v Microsoft Intune
  • Registrace a správa zařízení v Microsoft Entra ID, včetně přiřazování uživatelů a zásad
  • Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
  • Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
  • Čtení sestav využití v Centrum pro správu Microsoftu 365
  • Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce Popis
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/devices/basic/update Aktualizace základních vlastností na zařízeních
microsoft.directory/devices/create Vytvoření zařízení (registrace v Microsoft Entra ID)
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních
microsoft.directory/devices/extensionAttributeSet2/update Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních
microsoft.directory/devices/extensionAttributeSet3/update Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních
microsoft.directory/devices/registeredOwners/update Aktualizace registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/update Aktualizace registrovaných uživatelů zařízení
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/visibility/update Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

správce nasazení služba Windows Update

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se aktualizace nasazují, a určit, které aktualizace se nabízejí skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.

Akce Popis
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Čtení a konfigurace všech aspektů služby služba Windows Update Service

Správce Yammeru

Přiřaďte roli správce Yammeru uživatelům, kteří potřebují provádět následující úlohy:

  • Správa všech aspektů Yammeru
  • Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
  • Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně přiřazovatelných skupin rolí
  • Čtení sestav využití v Centrum pro správu Microsoftu 365
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
  • Zobrazení oznámení v Centru zpráv, ale ne oznámení o zabezpečení
  • Zobrazení stavu služby

Další informace

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Správa všech aspektů Yammeru

Zastaralé role

Neměly by se používat následující role. Byly zastaralé a v budoucnu se odeberou z ID Microsoft Entra.

  • Správce licencí AdHoc
  • Připojení zařízení
  • Správce zařízení
  • Uživatelé zařízení
  • Autor ověřeného uživatele e-mailem
  • Správce poštovní schránky
  • Připojení zařízení na pracovišti

Role se nezobrazují na portálu

Na webu Azure Portal se nezobrazují všechny role vrácené PowerShellem nebo rozhraním MS Graph API. Následující tabulka tyto rozdíly uspořádá.

Název rozhraní API Název webu Azure Portal Notes
Připojení zařízení Zastaralé Dokumentace k zastaralým rolím
Správce zařízení Zastaralé Dokumentace k zastaralým rolím
Uživatelé zařízení Zastaralé Dokumentace k zastaralým rolím
Účty synchronizace adresářů Nezobsazeno, protože by se nemělo používat Dokumentace k účtům synchronizace adresářů
Uživatel typu host Nezobrazuje se, protože se nedá použít NA
Podpora partnerské vrstvy 1 Nezobsazeno, protože by se nemělo používat Dokumentace podpory partnerské vrstvy 1
Podpora partnerské vrstvy 2 Nezobsazeno, protože by se nemělo používat Dokumentace podpory partnerské vrstvy 2
Omezený uživatel typu host Nezobrazuje se, protože se nedá použít NA
Uživatelská Nezobrazuje se, protože se nedá použít NA
Připojení zařízení na pracovišti Zastaralé Dokumentace k zastaralým rolím

Další kroky