Rollen in Microsoft Entra ID begrijpen

Er zijn ongeveer zestig ingebouwde Microsoft Entra-rollen. Dit zijn rollen met een vaste set rolmachtigingen. Voor een aanvulling op de ingebouwde rollen biedt Microsoft Entra ID ook ondersteuning voor aangepaste rollen. Gebruik aangepaste rollen om de gewenste rolmachtigingen te selecteren. U kunt er bijvoorbeeld een maken om bepaalde Microsoft Entra-resources, zoals toepassingen of service-principals, te beheren.

In dit artikel wordt uitgelegd wat Microsoft Entra-rollen zijn en hoe ze kunnen worden gebruikt.

Hoe Microsoft Entra-rollen verschillen van andere Microsoft 365-rollen

Er zijn veel verschillende services in Microsoft 365, zoals Microsoft Entra-id en Intune. Sommige van deze services hebben hun eigen op rollen gebaseerde toegangsbeheersystemen, met name:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender-portal
  • Complianceportal
  • Kostenbeheer en facturering

Andere services, zoals Teams, SharePoint en Managed Desktop, hebben geen afzonderlijke op rollen gebaseerd toegangsbeheersysteem. Ze gebruiken Microsoft Entra-rollen voor hun beheerderstoegang. Azure heeft een eigen op rollen gebaseerd toegangsbeheersysteem voor Azure-resources, zoals virtuele machines, en dit systeem is niet hetzelfde als Microsoft Entra-rollen.

Azure RBAC versus Microsoft Entra roles

Wanneer we afzonderlijk op rollen gebaseerd toegangsbeheersysteem zeggen, betekent dit dat er een ander gegevensarchief is waar de roldefinities en roltoewijzingen worden opgeslagen. Ook is er een ander beslissingspunt waar toegangscontroles plaatsvinden. Zie Rollen voor Microsoft 365-services in Microsoft Entra ID - en Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

Waarom sommige Microsoft Entra-rollen voor andere services zijn

Microsoft 365 heeft een aantal op rollen gebaseerde toegangsbeheersystemen die onafhankelijk zijn ontwikkeld gedurende een bepaalde periode, elk met een eigen serviceportal. Om het voor u handig te maken om identiteiten te beheren in Microsoft 365 vanuit het Microsoft Entra-beheercentrum, hebben we enkele servicespecifieke ingebouwde rollen toegevoegd, die elk beheerderstoegang verlenen tot een Microsoft 365-service. Een voorbeeld van deze toevoeging is de rol Exchange Beheer istrator in Microsoft Entra ID. Deze rol is gelijk aan de Organisatiebeheer-rolgroep in het op rollen gebaseerd toegangsbeheer van Exchange en kan alle aspecten van Exchange beheren. Evenzo hebben we de rol van Intune-beheerder, Teams-beheerder, SharePoint-beheerder, enzovoort toegevoegd. Servicespecifieke rollen zijn één categorie van ingebouwde Microsoft Entra-rollen in de volgende sectie.

Categorieën van Microsoft Entra-rollen

Ingebouwde Microsoft Entra-rollen verschillen in waar ze kunnen worden gebruikt, die in de volgende drie algemene categorieën vallen.

  • Microsoft Entra ID-specifieke rollen: deze rollen verlenen machtigingen voor het beheren van resources binnen Microsoft Entra. Gebruiker Beheer istrator, Application Beheer istrator, Groepen Beheer istrator verleent bijvoorbeeld machtigingen voor het beheren van resources die zich in Microsoft Entra-id bevinden.
  • Servicespecifieke rollen: Voor belangrijke Microsoft 365-services (niet-Azure AD) hebben we servicespecifieke rollen gebouwd die machtigingen verlenen voor het beheren van alle functies binnen de service. Exchange Beheer istrator, Intune Beheer istrator, SharePoint Beheer istrator en Teams Beheer istrator-rollen kunnen bijvoorbeeld functies beheren met hun respectieve services. Exchange Beheer istrator kan postvakken beheren, Intune Beheer istrator kan apparaatbeleid beheren, SharePoint Beheer istrator kan siteverzamelingen beheren, Teams Beheer istrator kan gesprekskwaliteiten beheren, enzovoort.
  • Rollen voor meerdere services: er zijn enkele rollen die services omvatten. We hebben twee globale rollen: globale beheerder en globale lezer. Deze twee rollen gelden voor alle Microsoft 365-services. Er zijn ook enkele beveiligingsrollen zoals Security Beheer istrator en Security Reader die toegang verlenen tot meerdere beveiligingsservices binnen Microsoft 365. Als u bijvoorbeeld beveiligings-Beheer istrator-rollen gebruikt in Microsoft Entra ID, kunt u de Microsoft 365 Defender-portal, Microsoft Defender Advanced Threat Protection en Microsoft Defender voor Cloud-apps beheren. Op dezelfde manier kunt u in de rol Compliance Beheer istrator instellingen voor naleving beheren in de complianceportal, Exchange enzovoort.

The three categories of Microsoft Entra built-in roles

De volgende tabel fungeert als een hulpmiddel bij het begrijpen van deze rolcategorieën. De categorieën worden willekeurig genoemd en zijn niet bedoeld om andere mogelijkheden te impliceren dan de gedocumenteerde Microsoft Entra-rolmachtigingen.

Categorie Rol
Microsoft Entra ID-specifieke rollen Toepassingsbeheerder
Toepassingsontwikkelaar
Verificatiebeheerder
Beheerder van B2C IEF-sleutelset
Beheerder van B2C IEF-beleid
Beheerder van de cloudtoepassing
Cloudapparaatbeheerder
Voorwaardelijke toegang Beheer istrator
Apparaat-Beheer istrators
Lezers van mappen
Adreslijstsynchronisatieaccounts
Adreslijstschrijvers
Beheerder van externe id-gebruikersstromen
Beheerder van externe id-gebruikersstroomkenmerken
Beheerder van externe id-providers
Groepsbeheerder
Afzender van gastuitnodigingen
Helpdeskbeheerder
Hybrid Identity-beheerder
Licentiebeheerder
Laag1-ondersteuning voor partner
Laag2-ondersteuning voor partner
Wachtwoordbeheerder
Bevoorrechte verificatiebeheerder
Beheerder voor bevoorrechte rollen
Rapportenlezer
Gebruikersbeheerder
Rollen voor meerdere services Globale beheerder
Nalevings-Beheer istrator
Compliancegegevens Beheer istrator
Algemene lezer
Beveiligingsbeheer
Beveiligingsoperator
Beveiligingslezer
Serviceondersteuningsbeheerder
Servicespecifieke rollen Azure DevOps-beheerder
Azure Information Protection-beheerder
Factureringsbeheerder
CRM-servicebeheerder
Fiatteur voor klanten-lockbox-toegang
Desktop Analytics-beheerder
Exchange-servicebeheerder
Insights-beheerder
Insights-bedrijfsleider
Intune-servicebeheerder
Kaizala-beheerder
Lync Service-beheerder
Berichtencentrum-privacylezer
Berichtencentrum-lezer
Modern Commerce-Beheer istrator
Netwerkbeheerder
Beheerder van Office-apps
Power BI-service Beheer istrator
Power Platform-beheerder
Printerbeheerder
Printertechnicus
Zoekbeheerder
Zoekredacteur
SharePoint-servicebeheerder
Teams-communicatiebeheerder
Ondersteuningstechnicus voor Teams-communicatie
Ondersteuningsspecialist voor Teams-communicatie
Teams-apparaatbeheerder
Teams-beheerder

Volgende stappen