Předdefinované role Microsoft Entra

V Microsoft Entra ID, pokud jiný správce nebo jiný správce potřebuje spravovat prostředky Microsoft Entra, přiřadíte jim roli Microsoft Entra, která poskytuje oprávnění, která potřebují. Můžete například přiřadit role, které umožňují přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.

Tento článek obsahuje seznam předdefinovaných rolí Microsoft Entra, které můžete přiřadit k povolení správy prostředků Microsoft Entra. Informace o přiřazování rolí najdete zde: Přiřazení rolí Microsoft Entra uživatelům. Pokud hledáte role pro správu prostředků Azure, podívejte se na předdefinované role Azure.

Všechny role

Správce aplikace

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.

Vývojář aplikace

Jedná se o privilegovanou roli. Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když nastavení Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.

Autor datové části útoku

Uživatelé v této roli mohou vytvářet datové části útoku, ale ve skutečnosti je nespustí ani neplánují. Datové části útoku jsou pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Správce simulace útoku

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontrolu výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Správce přiřazení atributů

Uživatelé s touto rolí můžou přiřadit a odebrat vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra, jako jsou uživatelé, instanční objekty a zařízení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Čtenář přiřazení atributů

Uživatelé s touto rolí mohou číst klíče a hodnoty vlastních atributů zabezpečení pro podporované objekty Microsoft Entra.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Správce definic atributů

Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit k podporovaným objektům Microsoft Entra. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Čtečka definic atributů

Uživatelé s touto rolí mohou číst definici vlastních atributů zabezpečení.

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Správce protokolu atributů

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

• Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
• Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
• Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení

Uživatelé s touto rolí nemohou číst protokoly auditu pro jiné události.

Globální správce a další role správců ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Pokud chcete číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Čtenář protokolu atributů.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Čtenář protokolu atributů

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

• Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
• Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení

Uživatelé s touto rolí nemohou provádět následující úlohy:

• Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
• Čtení protokolů auditu pro jiné události

Globální správce a další role správců ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Chcete-li číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Správce protokolu atributů.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Správce ověřování

Jedná se o privilegovanou roli. Přiřaďte roli Správce ověřování uživatelům, kteří potřebují:

• Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro jiné správce a některé role. Seznam rolí, které může správce ověřování číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
• Vyžadovat, aby se uživatelé, kteří nejsou správci nebo přiřadili k některým rolím, znovu zaregistrovali stávající přihlašovací údaje bez hesla (například MFA nebo FIDO), a také můžou odvolat vícefaktorové ověřování na zařízení, které při příštím přihlášení vyzve vícefaktorové ověřování.
• Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
• U některých uživatelů proveďte citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
• Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

• Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
• Nejde spravovat hardwarové tokeny OATH.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role	Správa metod ověřování uživatele	Správa MFA pro jednotlivé uživatele	Správa nastavení MFA	Správa zásad metod ověřování	Správa zásad ochrany heslem	Aktualizace citlivých vlastností	Odstraňování a obnovování uživatelů
Správce ověřování	Ano pro některé uživatele	Ano pro některé uživatele	Yes	No	No	Ano pro některé uživatele	Ano pro některé uživatele
Správce privilegovaného ověřování	Ano pro všechny uživatele	Ano pro všechny uživatele	No	No	No	Ano pro všechny uživatele	Ano pro všechny uživatele
Správce zásad ověřování	No	Ano	Ano	Ano	Ano	No	No
Správce uživatelů	No	No	No	No	No	Ano pro některé uživatele	Ano pro některé uživatele

Správce rozšiřitelnosti ověřování

Jedná se o privilegovanou roli. Přiřaďte roli Správce rozšiřitelnosti ověřování uživatelům, kteří potřebují provádět následující úlohy:

• Vytváření a správa všech aspektů vlastních rozšíření ověřování

Uživatelé s touto rolí nemohou provádět následující akce:

• Vlastní rozšíření ověřování nelze přiřadit aplikacím za účelem úprav prostředí ověřování a nelze udělit souhlas s oprávněními aplikace nebo vytvářet registrace aplikací přidružených k rozšíření vlastního ověřování. Místo toho musíte použít role Správce aplikací, Vývojář aplikací nebo Správce cloudových aplikací.

Rozšíření vlastního ověřování je koncový bod rozhraní API vytvořený vývojářem pro události ověřování a je zaregistrovaný v Microsoft Entra ID. Správci aplikací a vlastníci aplikací můžou pomocí vlastních rozšíření ověřování přizpůsobit prostředí ověřování aplikace, jako je přihlášení a registrace nebo resetování hesla.

Další informace

Správce zásad ověřování

Přiřaďte roli Správce zásad ověřování uživatelům, kteří potřebují:

• Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta a zásady ochrany hesel, které určují, které metody můžou jednotliví uživatelé zaregistrovat a používat.
• Spravovat nastavení ochrany heslem: konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
• Správa nastavení vícefaktorového ověřování na starší verzi portálu pro správu vícefaktorového ověřování
• Vytvořte a spravujte ověřitelné přihlašovací údaje.
• Vytváření a správa lístků podpora Azure

Uživatelé s touto rolí nemohou provádět následující akce:

• Nelze aktualizovat citlivé vlastnosti. Další informace najdete v tématu Kdo může provádět citlivé akce.
• Uživatele nelze odstranit ani obnovit. Další informace najdete v tématu Kdo může provádět citlivé akce.
• Nejde spravovat hardwarové tokeny OATH.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role	Správa metod ověřování uživatele	Správa MFA pro jednotlivé uživatele	Správa nastavení MFA	Správa zásad metod ověřování	Správa zásad ochrany heslem	Aktualizace citlivých vlastností	Odstraňování a obnovování uživatelů
Správce ověřování	Ano pro některé uživatele	Ano pro některé uživatele	Yes	No	No	Ano pro některé uživatele	Ano pro některé uživatele
Správce privilegovaného ověřování	Ano pro všechny uživatele	Ano pro všechny uživatele	No	No	No	Ano pro všechny uživatele	Ano pro všechny uživatele
Správce zásad ověřování	No	Ano	Ano	Ano	Ano	No	No
Správce uživatelů	No	No	No	No	No	Ano pro některé uživatele	Ano pro některé uživatele

Správce Azure DevOps

Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které jsou podporovány ID Microsoft Entra. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporována ID Microsoft Entra společnosti. Uživatelé v této roli navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například správci kolekcí projektů) v žádné organizaci Azure DevOps, kterou podporuje organizace Microsoft Entra společnosti.

Správce služby Azure Information Protection

Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky zásad služby Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění v Microsoft Entra ID Protection, Privileged Identity Management, Monitorování stavu služeb Microsoft 365, portálu Microsoft 365 Defender nebo Portál dodržování předpisů Microsoft Purview.

Správce sady klíčů IEF B2C

Jedná se o privilegovanou roli. Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování a dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data vypršení platnosti i po jeho vytvoření.

Správce zásad IEF B2C

Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad architekturou prostředí identit v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, posílat data uživatelů do externích systémů, včetně úplné migrace, a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče ani upravit tajné kódy používané pro federaci v organizaci.

Správce fakturace

Provádí nákupy, spravuje předplatná, spravuje lístky podpory a monitoruje stav služby.

Správce Cloud App Security

Uživatelé s touto rolí mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defenderu for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.

Správce cloudové aplikace

Jedná se o privilegovanou roli. Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikací pro Azure AD Graph a Microsoft Graph.

Správce cloudových zařízení

Jedná se o privilegovanou roli. Uživatelé v této roli můžou na webu Azure Portal povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst klíče BitLockeru s Windows 10 (pokud existují). Role neuděluje oprávnění ke správě dalších vlastností v zařízení.

Správce dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazovaní můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V	Může to udělat
Portál pro dodržování předpisů Microsoft Purview	Ochrana a správa dat vaší organizace napříč službami Microsoftu 365 Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager	Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender	Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender.
Intune	Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps	Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat

Správce dat dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v Centru pro správu Exchange, Správci dodržování předpisů a v Centru pro správu Teams a Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi správcem dodržování předpisů a správcem dat dodržování předpisů najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů microsoft Purview.

V	Může to udělat
Portál pro dodržování předpisů Microsoft Purview	Monitorování zásad souvisejících s dodržováním předpisů napříč službami Microsoftu 365 Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager	Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender	Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí Správce dat dodržování předpisů v řízení přístupu na portálu Microsoft 365 Defender.
Intune	Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps	Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat

Správce podmíněného přístupu

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu Microsoft Entra.

Schvalovatel přístupu Customer LockBoxu

Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Dostanou e-mailová oznámení o žádostech Customer Lockboxu a můžou schválit a odepřít žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla uživatelů přiřazených k této roli můžou resetovat jenom globální správci.

Správce Desktop Analytics

Uživatelé v této roli mohou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazení inventáře prostředků, vytvoření plánů nasazení a zobrazení stavu nasazení a stavu.

Čtenáři adresářů

Uživatelé v této roli mohou číst základní informace o adresáři. Tuto roli byste měli použít pro:

• Udělení konkrétní sady přístupů pro čtení uživatelů typu host místo udělení všem uživatelům typu host.
• Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k Centru pro správu Microsoft Entra, pokud je možnost Omezit přístup k Centru pro správu Microsoft Entra nastavená na Ano.
• Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možnost.

Účty synchronizace adresářů

Nepoužívat. Tato role se automaticky přiřadí službě Microsoft Entra Connect a není určena ani podporována pro jakékoli jiné použití.

Zapisovače adresářů

Jedná se o privilegovanou roli. Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.

Správce názvu domény

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Mohou také číst informace o adresáři o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V případě místních prostředí můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružené uživatele byly vždy ověřeny místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel prostřednictvím jednotného přihlašování. Nastavení federace je potřeba synchronizovat přes Microsoft Entra Connect, takže uživatelé mají také oprávnění ke správě služby Microsoft Entra Connect.

Správce Dynamics 365

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služby ke správě vašeho tenanta.

správce Dynamics 365 Business Central

Přiřaďte roli správce Dynamics 365 Business Central uživatelům, kteří potřebují provádět následující úlohy:

• Přístup k prostředím Dynamics 365 Business Central
• Provádění všech úloh správy v prostředích
• Správa životního cyklu prostředí zákazníka
• Dohled nad rozšířeními nainstalovanými v prostředích
• Řízení upgradů prostředí
• Export dat prostředí
• Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365

Tato role neposkytuje žádná oprávnění pro jiné produkty Dynamics 365.

Správce Edge

Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů vyžadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace

Správce Exchange

Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Správce příjemce Exchange

Uživatelé s touto rolí mají přístup ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchangi Online. Další informace naleznete v tématu Příjemci na serveru Exchange Server.

Správce toku externího ID uživatele

Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) na webu Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML/CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Microsoft Entra. Na druhou stranu tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury Identity Experience Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.

Správce atributů toku externího ID uživatele

Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy dostupné všem tokům uživatelů v organizaci Microsoft Entra. Uživatelé s touto rolí mohou změnit nebo přidat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám toho, jaká data mohou být požádáni o koncové uživatele a nakonec je odesílat jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.

Externí správce zprostředkovatele identity

Jedná se o privilegovanou roli. Tento správce spravuje federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. V této roli můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (např. cesta ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Microsoft Entra povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:

• Organizace Microsoft Entra pro zaměstnance a partnery: Přidání federace (např. s Gmailem) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
• Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo s jinou organizací Microsoft Entra) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (označuje se také jako předdefinovaná zásada). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity. Pokud chcete změnit toky uživatelů, vyžaduje se omezená role správce toku uživatele B2C.

Správce prostředků infrastruktury

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Fabric a Power BI, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců prostředků infrastruktury.

Globální správce

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají přístup ke všem funkcím správy v Microsoft Entra ID a službám, které používají identity Microsoft Entra, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online, SharePoint Online a Skype pro firmy Online. Globální správci můžou zobrazit protokoly aktivit adresáře. Globální správci navíc můžou zvýšit přístup ke správě všech předplatných a skupin pro správu Azure. Globální správci tak můžou získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Microsoft Entra. Osoba, která se zaregistruje do organizace Microsoft Entra, se stane globálním správcem. Ve vaší společnosti může být více než jeden globální správce. Globální správci můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální správce nemůže odebrat vlastní přiřazení globálního správce. Tím zabráníte situaci, kdy má organizace nula globálních správců.

Globální čtenář

Jedná se o privilegovanou roli. Uživatelé v této roli můžou číst nastavení a informace o správě služeb Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek jen pro čtení globálního správce. Přiřaďte globální čtenáře místo globálního správce pro plánování, audity nebo šetření. Globální čtenář můžete použít v kombinaci s dalšími omezenými rolemi správců, jako je správce Exchange, aby se práce usnadnila bez přiřazení role globálního správce. Globální čtenář spolupracuje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, webem Azure Portal a centrem pro správu Správa zařízení.

Uživatelé s touto rolí nemohou provádět následující akce:

• V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.

Globální správce zabezpečeného přístupu

Přiřaďte roli globálního správce zabezpečeného přístupu uživatelům, kteří potřebují:

• Vytváření a správa všech aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup
• Správa přístupu k veřejným a privátním koncovým bodům

Uživatelé s touto rolí nemohou provádět následující akce:

• Nejde spravovat podnikové aplikace, registrace aplikací, podmíněný přístup nebo nastavení proxy aplikací

Další informace

Správce skupin

Uživatelé v této roli můžou vytvářet nebo spravovat skupiny a jejich nastavení, jako je pojmenování a zásady vypršení platnosti. Je důležité vědět, že přiřazování uživatele k této roli mu kromě Outlooku umožňuje spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také konkrétní úlohy, jako jsou Centra pro správu Teams a SharePointu.

Pozvaný host

Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B, když členové mohou pozvat nastavení uživatele nastavena na Ne. Další informace o spolupráci B2B na webu About Microsoft Entra B2B collaboration. Nezahrnuje žádná další oprávnění.

Správce helpdesku

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zrušení platnosti obnovovacího tokenu vynutí, aby se uživatel znovu přihlásil. Určuje, jestli správce helpdesku může resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce helpdesku resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

• Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.

Delegování oprávnění správce pro podmnožinu uživatelů a použití zásad na podmnožinu uživatelů je možné u jednotek pro správu.

Tato role se dříve jmenovala Správce hesel na webu Azure Portal. Přejmenoval se na správce helpdesku, aby se shodoval s existujícím názvem v rozhraní Microsoft Graph API a Microsoft Graph PowerShellu.

Správce hybridní identity

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z Active Directory do Microsoft Entra ID pomocí zřizování cloudu a spravovat Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Connect Health. Uživatelé můžou pomocí této role také řešit potíže a monitorovat protokoly.

Správce zásad správného řízení identit

Uživatelé s touto rolí můžou spravovat konfiguraci zásad správného řízení ID Microsoft Entra, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, zajištění schválení a kontroly přístupu a odebrání uživatelů typu host, kteří už nepotřebují přístup.

Správce přehledů

Uživatelé v této roli mají přístup k celé sadě možností správy v aplikaci Microsoft Viva Insights. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení správce přehledů.

Další informace

Analytik přehledů

Přiřaďte roli Analytik přehledů uživatelům, kteří potřebují:

• Analýza dat v aplikaci Microsoft Viva Insights, ale nemůže spravovat žádná nastavení konfigurace
• Vytváření, správa a spouštění dotazů
• Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
• Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Další informace

Přehledy obchodního vedoucího programu

Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Insights. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což je odpovědnost za roli Správce přehledů.

Další informace

Správce Intune

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají v Microsoft Intune Online globální oprávnění, když je služba k dispozici. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) v Microsoft Intune.

Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Správce Intune ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky ani členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří, která je součástí svých oprávnění koncových uživatelů. Každá skupina Office (ne skupina zabezpečení), kterou vytvoří, by se tedy měla spočítat do kvóty 250.

Správce Kaizala

Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsfot Kaizala, když je služba přítomná, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s přijetím a používáním Kaizaly členy organizace a obchodními sestavy vygenerovanými pomocí akcí Kaizala.

Správce znalostí

Uživatelé v této roli mají úplný přístup ke všem znalostem, znalostem a inteligentním funkcím nastavení v Centrum pro správu Microsoftu 365. Mají obecný přehled o sadě produktů, podrobností o licencování a mají odpovědnost za řízení přístupu. Správce znalostí může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.

Správce znalostní báze

Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.

Správce licencí

Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění využití u uživatelů. Role neuděluje možnost nakupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny nebo vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Správce pracovních postupů životního cyklu

Jedná se o privilegovanou roli. Přiřaďte roli správce pracovních postupů životního cyklu uživatelům, kteří potřebují provádět následující úlohy:

• Vytváření a správa všech aspektů pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID
• Kontrola provádění plánovaných pracovních postupů
• Spuštění pracovního postupu na vyžádání
• Kontrola protokolů spouštění pracovních postupů

Čtečka ochrany osobních údajů v Centru zpráv

Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů dat. Čtečky ochrany osobních údajů v Centru zpráv získají e-mailová oznámení, včetně těch, které se týkají ochrany osobních údajů v datech, a můžou odběr odběru odběru odběru pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst jenom globální správce a čtenář ochrany osobních údajů centra zpráv. Tato role navíc obsahuje možnost zobrazovat skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.

Čtečka centra zpráv

Uživatelé v této roli můžou monitorovat oznámení a rady aktualizací stavu v Centru zpráv pro svou organizaci na nakonfigurovaných službách, jako jsou Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostanou týdenní přehledy e-mailů o příspěvcích, aktualizacích a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Microsoft Entra ID budou mít uživatelé přiřazené k této roli přístup jen pro čtení ke službám Microsoft Entra, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Správce migrace Microsoftu 365

Přiřaďte roli Správce migrace Microsoftu 365 uživatelům, kteří potřebují provádět následující úlohy:

• Použití Migration Manageru v Centrum pro správu Microsoftu 365 ke správě migrace obsahu do Microsoftu 365, včetně Teams, OneDrive pro firmy a sharepointových webů, z Disku Google, Dropboxu, Boxu a Egnyte
• Vyberte zdroje migrace, vytvořte inventáře migrace (například seznamy uživatelů disku Google), naplánujte a spusťte migrace a stáhněte si sestavy.
• Vytvořte nové sharepointové weby, pokud cílové weby ještě neexistují, vytvořte sharepointové seznamy pod weby pro správu SharePointu a vytvořte a aktualizujte položky v sharepointových seznamech.
• Správa nastavení projektu migrace a životního cyklu migrace pro úkoly
• Správa mapování oprávnění ze zdroje do cíle

Další informace

Místní správce zařízení připojený k Microsoft Entra

Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech zařízeních s Windows 10 připojených k Microsoft Entra ID. Nemají možnost spravovat objekty zařízení v Microsoft Entra ID.

Správce záruky hardwaru společnosti Microsoft

Přiřaďte roli Správce hardwarové záruky společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:

• Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
• Hledání a čtení otevřených nebo uzavřených nároků na záruku
• Hledat a číst záruční nároky podle sériového čísla
• Vytvoření, čtení, aktualizace a odstranění dodacích adres
• Přečtěte si stav expedice pro otevřené záruky
• Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
• Přečtěte si oznámení centra zpráv v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Specialista microsoftu na záruku hardwaru

Přiřaďte roli Specialista na hardware společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:

• Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
• Přečtěte si nároky na záruku, které vytvořili.
• Čtení a aktualizace existujících dodacích adres
• Přečtěte si stav expedice pro otevřené nároky na záruku, které vytvořili.
• Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Správce moderního obchodování

Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jakékoli jiné použití. Podrobnosti najdete níže.

Role Správce moderního obchodu dává určitým uživatelům oprávnění pro přístup k Centrum pro správu Microsoftu 365 a zobrazuje levé navigační položky pro domovskou stránku, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen rolemi specifickými pro obchodování přiřazené uživatelům ke správě produktů, které si koupili pro sebe nebo vaši organizaci. Může to zahrnovat úkoly, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.

Uživatelé s rolí Moderní správce obchodu mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního správce ani správce fakturace, které se používají pro přístup k Centru pro správu.

Kdy je přiřazena role Správce moderního obchodování?

• Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty nákupem nebo registrací sami. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří provádějí samoobslužný nákup, se přiřazují role v komerčním systému a roli Moderní správce obchodu, aby mohli spravovat nákupy v Centru pro správu. Správci můžou prostřednictvím PowerShellu blokovat samoobslužné nákupy (pro Prostředky infrastruktury, Power BI, Power Apps, Power Automate). Další informace najdete v nejčastějších dotazech k samoobslužným nákupům.
• Nákupy z komerčního marketplace Microsoftu – podobně jako samoobslužný nákup, když uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se mu role Moderní správce obchodu, pokud nemá roli globálního správce nebo správce fakturace. V některých případech můžou být uživatelé zablokovaní v provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
• Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci, která umožňuje nakupovat produkty a služby Microsoftu. Pokud osoba, která návrh přijímá, nemá v ID Microsoft Entra roli globálního správce ani správce fakturace, přiřadí se mu role specifická pro obchod, která návrh dokončí, i roli moderního správce obchodu pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich obchodní rolí.
• Obchodní role – Někteří uživatelé mají přiřazené role specifické pro obchod. Pokud uživatel není globálním správcem nebo správcem fakturace, získá roli moderního správce obchodu, aby mohl získat přístup k Centru pro správu.

Pokud uživatel nepřiřadí roli Správce moderního obchodu, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy správy předplatných.

Správce sítě

Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na telemetrii sítě z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatelů. Tato role umožňuje upravit zjištěná umístění uživatelů a konfiguraci parametrů sítě pro tato umístění, aby se usnadnila vylepšená měření telemetrie a doporučení k návrhu.

Správce aplikací Office

Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoftu 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavu související s aplikace Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli mohou také spravovat komunikaci nových funkcí v aplikace Office.

Správce brandingu organizace

Přiřaďte roli správce brandingu organizace uživatelům, kteří potřebují provádět následující úlohy:

• Správa všech aspektů brandingu organizace v tenantovi
• Čtení, vytváření, aktualizace a odstraňování motivů brandingu
• Správa výchozího motivu brandingu a všech motivů lokalizace brandingu

Schvalovatel zpráv organizace

Přiřaďte roli schvalovatele zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:

• Kontrola, schválení nebo odmítnutí nových organizačních zpráv pro doručování v Centrum pro správu Microsoftu 365 před jejich odesláním uživatelům pomocí platformy Organizační zprávy Microsoftu 365
• Čtení všech aspektů organizačních zpráv
• Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Zapisovatel zpráv organizace

Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:

• Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
• Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
• Čtení výsledků doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
• Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny

Podpora partnerské vrstvy 1

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Podpora partnerské vrstvy 2

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Správce hesel

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. Určuje, jestli správce hesel může resetovat heslo uživatele, závisí na roli, která je uživateli přiřazena. Seznam rolí, pro které může správce hesel resetovat hesla, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

• Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.

Správce správy oprávnění

Přiřaďte roli Správce správy oprávnění uživatelům, kteří potřebují provádět následující úlohy:

• Správa všech aspektů Správa oprávnění Microsoft Entra, když je služba k dispozici

Další informace o rolích a zásadách správy oprávnění najdete v tématu Zobrazení informací o rolích a zásadách.

Správce Power Platform

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toky, zásady ochrany před únikem informací. Uživatelé s touto rolí navíc můžou spravovat lístky podpory a monitorovat stav služby.

Správce tiskárny

Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskáren v řešení Microsoft Universal Print, včetně nastavení konektoru pro univerzální tisk. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Správci tiskárny mají také přístup k tisk sestavám.

Technik tiskárny

Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Universal Print. Můžou si také přečíst všechny informace o konektoru. Klíčovým úkolem, který nemůže technik tiskárny provést, je nastavit uživatelská oprávnění k tiskárnám a sdílení tiskáren.

Správce privilegovaného ověřování

Jedná se o privilegovanou roli. Přiřaďte roli Správce privilegovaného ověřování uživatelům, kteří potřebují:

• Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních správců.
• Odstraňte nebo obnovte všechny uživatele, včetně globálních správců. Další informace najdete v tématu Kdo může provádět citlivé akce.
• Vynuťte, aby se uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO) a odvolali si vícefaktorové ověřování na zařízení a při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
• Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
• Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

• Vícefaktorové ověřování pro jednotlivé uživatele nejde spravovat na starším portálu pro správu vícefaktorového ověřování.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role	Správa metod ověřování uživatele	Správa MFA pro jednotlivé uživatele	Správa nastavení MFA	Správa zásad metod ověřování	Správa zásad ochrany heslem	Aktualizace citlivých vlastností	Odstraňování a obnovování uživatelů
Správce ověřování	Ano pro některé uživatele	Ano pro některé uživatele	Yes	No	No	Ano pro některé uživatele	Ano pro některé uživatele
Správce privilegovaného ověřování	Ano pro všechny uživatele	Ano pro všechny uživatele	No	No	No	Ano pro všechny uživatele	Ano pro všechny uživatele
Správce zásad ověřování	No	Ano	Ano	Ano	Ano	No	No
Správce uživatelů	No	No	No	No	No	Ano pro některé uživatele	Ano pro některé uživatele

Správce privilegovaných rolí

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat přiřazení rolí v Microsoft Entra ID i v rámci služby Microsoft Entra Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k rolím Microsoft Entra. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.

Čtenář sestav

Uživatelé s touto rolí mohou zobrazit data sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Prostředcích infrastruktury a Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlašování, protokolům auditu a sestavám aktivit v Microsoft Entra ID a datech vrácených rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centerm pro správu pro konkrétní produkty, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Správce vyhledávání

Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Kromě toho můžou tito uživatelé zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.

Editor vyhledávání

Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, otázek a umístění.

Správce zabezpečení

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením na portálu Microsoft 365 Defender, microsoft Entra ID Protection, ověřování Microsoft Entra, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V	Může to udělat
Portál Microsoft 365 Defender	Monitorování zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Správa bezpečnostních hrozeb a výstrah Zobrazení sestav
Microsoft Entra ID Protection	Všechna oprávnění role Čtenář zabezpečení Provádění všech operací ochrany ID s výjimkou resetování hesel
Privileged Identity Management	Všechna oprávnění role Čtenář zabezpečení Nejde spravovat přiřazení nebo nastavení rolí Microsoft Entra
Portál pro dodržování předpisů Microsoft Purview	Správa zásad zabezpečení Zobrazení, prošetření a reakce na bezpečnostní hrozby Zobrazení sestav
Azure Advanced Threat Protection	Monitorování podezřelých aktivit zabezpečení a reakce na ně
Microsoft Defender for Endpoint	Přiřazení rolí Správa skupin počítačů Konfigurace detekce hrozeb koncového bodu a automatizovaná náprava Zobrazení, prošetření a reakce na upozornění Zobrazení inventáře počítačů nebo zařízení
Intune	Mapuje se na roli Intune Endpoint Security Manager.
Microsoft Defender for Cloud Apps	Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení
Stav služby Microsoft 365	Zobrazení stavu služeb Microsoft 365
Inteligentní uzamčení	Definujte prahovou hodnotu a dobu trvání uzamčení, když dojde k neúspěšným událostem přihlášení.
Ochrana heslem	Nakonfigurujte vlastní zakázaný seznam hesel nebo místní ochranu heslem.
Synchronizace mezi tenanty	Nakonfigurujte nastavení přístupu mezi tenanty pro uživatele v jiném tenantovi. Správci zabezpečení nemůžou přímo vytvářet a odstraňovat uživatele, ale můžou nepřímo vytvářet a odstraňovat synchronizované uživatele z jiného tenanta, když jsou oba tenanti nakonfigurovaní pro synchronizaci mezi tenanty, což je privilegované oprávnění.

Operátor zabezpečení

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V	Může to udělat
Portál Microsoft 365 Defender	Všechna oprávnění role Čtenář zabezpečení Zobrazení, prošetření výstrah zabezpečení a reakce na ně Správa nastavení zabezpečení na portálu Microsoft 365 Defender
Microsoft Entra ID Protection	Všechna oprávnění role Čtenář zabezpečení Proveďte všechny operace ochrany ID s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněními.
Privileged Identity Management	Všechna oprávnění role Čtenář zabezpečení
Portál pro dodržování předpisů Microsoft Purview	Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Microsoft Defender for Endpoint	Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune	Všechna oprávnění role Čtenář zabezpečení
Microsoft Defender for Cloud Apps	Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Stav služby Microsoft 365	Zobrazení stavu služeb Microsoft 365

Čtenář zabezpečení

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Microsoft Entra a v Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V	Může to udělat
Portál Microsoft 365 Defender	Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Zobrazení bezpečnostních hrozeb a výstrah Zobrazení sestav
Microsoft Entra ID Protection	Zobrazení všech sestav ochrany ID a přehledu
Privileged Identity Management	Má přístup jen pro čtení ke všem informacím, které se zobrazí v Microsoft Entra Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Microsoft Entra a kontroly zabezpečení. Microsoft Entra Privileged Identity Management se nemůže zaregistrovat ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může někdo v této roli aktivovat další role (například správce privilegovaných rolí), pokud má uživatel nárok na ně.
Portál pro dodržování předpisů Microsoft Purview	Zobrazení zásad zabezpečení Zobrazení a zkoumání bezpečnostních hrozeb Zobrazení sestav
Microsoft Defender for Endpoint	Zobrazení a zkoumání výstrah Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune	Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nelze provádět změny.
Microsoft Defender for Cloud Apps	Má oprávnění ke čtení.
Stav služby Microsoft 365	Zobrazení stavu služeb Microsoft 365

Správce podpory služeb

Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv na webu Azure Portal a Centrum pro správu Microsoftu 365. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Správce SharePointu

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Správce služby SharePoint Embedded

Přiřaďte roli správce služby SharePoint Embedded uživatelům, kteří potřebují provádět následující úlohy:

• Provádění všech úloh pomocí PowerShellu, rozhraní Microsoft Graph API nebo Centra pro správu SharePointu
• Správa, konfigurace a údržba kontejnerů Služby SharePoint Embedded
• Vytvoření výčtu a správa kontejnerů Služby SharePoint Embedded
• Vytvoření výčtu a správa oprávnění pro kontejnery Služby SharePoint Embedded
• Správa úložiště kontejnerů Služby SharePoint Embedded v tenantovi
• Přiřazení zásad zabezpečení a dodržování předpisů v kontejnerech Služby SharePoint Embedded
• Použití zásad zabezpečení a dodržování předpisů u kontejnerů SharePoint Embedded v tenantovi

Další informace

správce Skype pro firmy

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba přítomna, a také spravovat atributy uživatele specifické pro Skype v Microsoft Entra ID. Tato role navíc umožňuje spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams nebo nemůže spouštět rutiny Teams PowerShellu. Další informace najdete v tématu Skype pro firmy informace o licencování online správců a Teams na Skype pro firmy doplňkových licencích.

Správce Teams

Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams a příslušných modulů PowerShellu Skype pro firmy. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.

Správce komunikace Teams

Uživatelé v této roli mohou spravovat aspekty úloh Microsoft Teams souvisejících s hlasem a telefonií. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup ke sadě nástrojů analýzy hovorů.

Technik podpory komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu hovoru pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Specialista na podporu komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit pouze podrobnosti o uživateli při volání konkrétního uživatele, který hledal. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Správce zařízení Teams

Uživatelé s touto rolí můžou spravovat zařízení certifikovaná aplikací Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení najednou a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, vytvoření a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.

Správce telefonních služeb Teams

Přiřaďte roli správce telefonie Teams uživatelům, kteří potřebují provádět následující úlohy:

• Správa hlasových a telefonních hovorů, včetně zásad volání, správy telefonních čísel a přiřazení a hlasových aplikací
• Přístup pouze k sestavám využití veřejné telefonní sítě (PSTN) z Centra pro správu Teams
• Zobrazit stránku profilu uživatele
• Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365

Další informace

Tvůrce tenanta

Přiřaďte roli Tvůrce tenanta uživatelům, kteří potřebují provádět následující úlohy:

• Vytvoření tenantů Microsoft Entra i Azure Active Directory B2C i v případě, že je přepínač pro vytvoření tenanta vypnutý v uživatelských nastaveních

Čtenář souhrnných sestav využití

Přiřaďte roli čtenáře souhrnných sestav využití uživatelům, kteří potřebují v Centrum pro správu Microsoftu 365 provádět následující úlohy:

• Zobrazení sestav využití a skóre přijetí
• Čtení přehledů organizace, ale ne identifikovatelných osobních údajů (PII) uživatelů

Tato role umožňuje uživatelům zobrazit pouze data na úrovni organizace s následujícími výjimkami:

• Členové můžou zobrazit data a nastavení správy uživatelů.
• Uživatelé typu host, kteří mají přiřazenou tuto roli, nemůžou zobrazit data a nastavení správy uživatelů.

Správce uživatelů

Jedná se o privilegovanou roli. Přiřaďte roli Správce uživatelů uživatelům, kteří potřebují:

Oprávnění	Více informací
Vytvoření uživatelů
Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců	Kdo může provádět citlivé akce
Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele	Kdo může provádět citlivé akce
Zakázání nebo povolení některých uživatelů	Kdo může provádět citlivé akce
Odstranění nebo obnovení některých uživatelů	Kdo může provádět citlivé akce
Vytváření a správa uživatelských zobrazení
Vytvoření a správa všech skupin
Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců
Resetování hesel	Kdo může resetovat hesla
Zneplatnění obnovovacích tokenů	Kdo může resetovat hesla
Aktualizace klíčů zařízení (FIDO)
Aktualizace zásad vypršení platnosti hesel
Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Monitorování stavu služby

Uživatelé s touto rolí nemohou provádět následující akce:

• Nejde spravovat vícefaktorové ověřování.
• Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
• Sdílené poštovní schránky nelze spravovat.
• Nelze upravit bezpečnostní otázky týkající se operace resetování hesla.

Správce úspěchu uživatelského prostředí

Přiřaďte roli Správce úspěchu uživatelského prostředí uživatelům, kteří potřebují provádět následující úlohy:

• Čtení sestav využití na úrovni organizace pro Aplikace a služby Microsoftu 365, ale ne podrobnosti o uživateli
• Podívejte se na zpětnou vazbu k produktům vaší organizace, výsledky průzkumu NET Promoter Score (NPS) a nápovědy k identifikaci komunikačních a školicích příležitostí.
• Čtení příspěvků centra zpráv a dat o stavu služby

Další informace

Správce virtuálních návštěv

Uživatelé s touto rolí můžou provádět následující úlohy:

• Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
• Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365, Prostředcích infrastruktury a Power BI
• Zobrazení funkcí a nastavení v Centrum pro správu Microsoftu 365, ale nemůže upravit žádná nastavení

Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online a videoobjednávky pro pedagogy a účastníky. Vytváření sestav využití může například ukázat, jak odesílání textových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují u událostí.

Viva Goals Administrator

Přiřaďte roli Správce cílů Viva uživatelům, kteří potřebují provádět následující úlohy:

• Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
• Konfigurace nastavení správce cílů Microsoft Viva
• Čtení informací o tenantovi Microsoft Entra
• Monitorování stavu služby Microsoft 365
• Vytváření a správa žádostí o služby Microsoft 365

Další informace najdete v tématu Role a oprávnění v nástroji Viva Goals a Úvod do cílů Microsoft Viva.

Viva Pulse Administrator

Přiřaďte roli Viva Pulse Administrator uživatelům, kteří potřebují provádět následující úlohy:

• Čtení a konfigurace všech nastavení Viva Pulse
• Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
• Čtení a konfigurace služby Azure Service Health
• Vytváření a správa lístků podpora Azure
• Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
• Čtení sestav využití v Centrum pro správu Microsoftu 365

Další informace najdete v tématu Přiřazení správce Viva Pulse v Centrum pro správu Microsoftu 365.

Správce Windows 365

Uživatelé s touto rolí mají při přítomnosti služby globální oprávnění k prostředkům Windows 365. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.

Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správci nemůžou aktualizovat vlastníky ani členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncových uživatelů. Takže každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do kvóty 250.

Přiřaďte roli Správce Systému Windows 365 uživatelům, kteří potřebují provádět následující úlohy:

• Správa cloudových počítačů s Windows 365 v Microsoft Intune
• Registrace a správa zařízení v Microsoft Entra ID, včetně přiřazování uživatelů a zásad
• Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
• Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
• Čtení sestav využití v Centrum pro správu Microsoftu 365
• Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365

správce nasazení služba Windows Update

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se aktualizace nasazují, a určit, které aktualizace se nabízejí skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.

Správce Yammeru

Přiřaďte roli správce Yammeru uživatelům, kteří potřebují provádět následující úlohy:

• Správa všech aspektů Yammeru
• Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
• Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně přiřazovatelných skupin rolí
• Čtení sestav využití v Centrum pro správu Microsoftu 365
• Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
• Zobrazení oznámení v Centru zpráv, ale ne oznámení o zabezpečení
• Zobrazení stavu služby

Další informace

Zastaralé role

Neměly by se používat následující role. Byly zastaralé a v budoucnu se odeberou z ID Microsoft Entra.

• Správce licencí AdHoc
• Připojení zařízení
• Správce zařízení
• Uživatelé zařízení
• Autor ověřeného uživatele e-mailem
• Správce poštovní schránky
• Připojení zařízení na pracovišti

Role se nezobrazují na portálu

Na webu Azure Portal se nezobrazují všechny role vrácené PowerShellem nebo rozhraním MS Graph API. Následující tabulka tyto rozdíly uspořádá.

Název rozhraní API	Název webu Azure Portal	Notes
Připojení zařízení	Zastaralé	Dokumentace k zastaralým rolím
Správce zařízení	Zastaralé	Dokumentace k zastaralým rolím
Uživatelé zařízení	Zastaralé	Dokumentace k zastaralým rolím
Účty synchronizace adresářů	Nezobsazeno, protože by se nemělo používat	Dokumentace k účtům synchronizace adresářů
Uživatel typu host	Nezobrazuje se, protože se nedá použít	NA
Podpora partnerské vrstvy 1	Nezobsazeno, protože by se nemělo používat	Dokumentace podpory partnerské vrstvy 1
Podpora partnerské vrstvy 2	Nezobsazeno, protože by se nemělo používat	Dokumentace podpory partnerské vrstvy 2
Omezený uživatel typu host	Nezobrazuje se, protože se nedá použít	NA
Uživatelská	Nezobrazuje se, protože se nedá použít	NA
Připojení zařízení na pracovišti	Zastaralé	Dokumentace k zastaralým rolím

Další kroky

• Přiřazení rolí Microsoft Entra ke skupinám
• Vysvětlení různých rolí
• Přiřazení uživatele jako správce předplatného Azure