Rol-rechten matrix
Dit artikel biedt een kruisverwijzing tussen AutoMate-rollen, functionaliteiten en de Microsoft API-rechten die daarvoor worden gebruikt. Daarnaast wordt per rol beschreven welke impact acties hebben op de IT-omgeving van de organisatie — waaronder Entra ID, Active Directory, Microsoft Intune, Exchange Online en SharePoint.
Matrix: rollen en functionaliteiten
De onderstaande tabel toont welke rollen toegang hebben tot welke functionaliteiten en welke Microsoft API-rechten daarbij worden aangesproken.
Functionaliteit | Administrator | Identity | Branding | Customer | Belangrijkste API-rechten |
|---|---|---|---|---|---|
IAM / Medewerkers | ✓ | ✓ | — | — |
|
Personas en Bundels | ✓ | ✓ | — | — |
|
Organisatiestructuur | ✓ | ✓ | — | — |
|
Provisioning | ✓ | ✓ | — | — |
|
Apparaten | ✓ | ✓ | — | — |
|
Toegangsbeheer V2 | ✓ | ✓ | — | — |
|
Workflows | ✓ | ✓ | — | — |
|
Audits | ✓ | ✓ | — | — |
|
E-mailhandtekeningen | ✓ | — | ✓ | — |
|
Teams-handtekening | ✓ | — | ✓ | — |
|
Mediabibliotheek (CDN) | ✓ | — | ✓ | — | — (intern CDN, geen externe API) |
Office-sjablonen | ✓ | — | ✓ | — |
|
M365-inlogpagina | ✓ | — | ✓ | — |
|
Klantomgevingen (MSP) | — | — | — | ✓ |
|
Impactbeschrijving per rol
Hieronder wordt per rol beschreven wat de concrete impact is van acties op de IT-omgeving van de organisatie.
Identity Administrator
De Identity Administrator kan wijzigingen aanbrengen die directe impact hebben op de gehele IT-omgeving: Entra ID (Azure AD), Active Directory (via sync), Microsoft Intune en Exchange Online.
Entra ID / Active Directory:
Kan gebruikersaccounts aanmaken in Entra ID — er wordt een nieuw account in de directory aangemaakt. Bij organisaties met AD Connect/Cloud Sync kan dit doorwerken naar de on-premises Active Directory (
User.ReadWrite.All)Kan gebruikersaccounts verwijderen uit Entra ID — het account wordt permanent verwijderd uit de cloud-directory. On-premises AD-accounts worden hierdoor niet verwijderd (
User.ReadWrite.All)Kan accounts in- en uitschakelen — de gebruiker kan niet meer inloggen bij alle gekoppelde diensten (Microsoft 365, VPN, on-premises applicaties) (
User.EnableDisableAccount.All)Kan wachtwoorden resetten — de gebruiker moet een nieuw wachtwoord instellen (
User-PasswordProfile.ReadWrite.All)Kan MFA-authenticatiemethoden verwijderen — de gebruiker moet MFA opnieuw configureren (
UserAuthenticationMethod.ReadWrite.All)Kan aanmeldsessies intrekken — alle actieve sessies van de gebruiker worden beëindigd, inclusief sessies naar on-premises resources (
Directory.ReadWrite.All)
Microsoft Intune / Apparaatbeheer:
Kan apparaten op afstand wissen via Intune — alle bedrijfsgegevens op het apparaat worden verwijderd. Bij een volledige wipe wordt het apparaat teruggezet naar fabrieksinstellingen (
DeviceManagementManagedDevices.PrivilegedOperations.All)Kan BitLocker-herstelsleutels ophalen — dit biedt toegang tot versleutelde schijven van organisatieapparaten (
BitlockerKey.Read.All)Kan Autopilot-apparaten registreren in Intune — apparaten worden voorbereid voor automatische configuratie bij eerste ingebruikname (
DeviceManagementServiceConfig.ReadWrite.All)Kan Intune-apps toewijzen aan apparaten — software wordt automatisch geïnstalleerd of verwijderd (
DeviceManagementApps.ReadWrite.All)
Toegangsbeheer (Entra ID, Exchange, Teams):
Kan groepslidmaatschappen wijzigen — gebruikers worden automatisch toegevoegd aan of verwijderd uit Entra-beveiligingsgroepen, Microsoft 365-groepen en Teams. Dit kan ook impact hebben op toegang tot on-premises resources die via groepslidmaatschap worden beheerd (
GroupMember.ReadWrite.All)Kan app-rollen toewijzen — gebruikers krijgen toegang tot enterprise applications via automatische roltoewijzing (
AppRoleAssignment.ReadWrite.All)Kan gedeelde mailboxen beheren via Exchange Online — gebruikers krijgen Full Access- of Send As-machtigingen op gedeelde mailboxen (
Exchange.ManageAsAppV2)Kan directory-rollen toewijzen — gebruikers kunnen beheerdersrollen ontvangen zoals Teams Administrator (
RoleManagement.ReadWrite.Directory)
Workflows:
Kan geautomatiseerde workflows uitvoeren — deze kunnen gebruikersaccounts aanmaken, groepslidmaatschappen wijzigen, Intune-acties triggeren of andere beheertaken uitvoeren zonder handmatige tussenkomst (
User.ReadWrite.All,Group.ReadWrite.All)
Branding Administrator
De Branding Administrator kan wijzigingen aanbrengen aan de visuele identiteit en communicatie-instellingen van de organisatie in Exchange Online, SharePoint en Entra ID.
Exchange Online:
Kan Exchange-transportregels aanmaken en wijzigen — alle uitgaande e-mails van de organisatie krijgen automatisch de geconfigureerde handtekening (
Exchange.ManageAsApp)Kan mailboxinstellingen aanpassen — dit beïnvloedt hoe e-mailhandtekeningen worden toegepast per mailbox (
MailboxSettings.ReadWrite)
Entra ID:
Kan de Microsoft 365-inlogpagina aanpassen — het logo, de achtergrondafbeelding en kleuren van de inlogervaring worden gewijzigd voor alle gebruikers in de organisatie (
Organization.ReadWrite.All)
SharePoint:
Kan bestanden uploaden naar en verwijderen uit SharePoint-documentbibliotheken — Office-sjablonen worden beschikbaar gemaakt voor de gehele organisatie (
Sites.FullControl.All)
Customer Administrator
De Customer Administrator heeft beperkte directe impact op de IT-omgeving.
Kan basisgegevens van gekoppelde klanttenants ophalen — er worden alleen leesacties uitgevoerd op cross-tenant informatie (
CrossTenantInformation.ReadBasic.All)Heeft geen directe toegang tot identiteiten, apparaten of branding van klantenomgevingen