Découvrir les rôles d’administrateur Microsoft 365
Un abonnement Microsoft 365 est fourni avec un ensemble de rôles d'administrateur que vous pouvez attribuer aux utilisateurs de votre organisation à l'aide du centre d'administration Microsoft 365. Chaque rôle d'administrateur correspond à des fonctions commerciales courantes. Ils accordent aux membres de votre organisation des autorisations pour effectuer des tâches spécifiques dans les centres d'administration.
Remarque
Le Centre d’administration Microsoft 365 vous permet de gérer les rôles Microsoft Ainsi que les rôles Microsoft Intune. Cependant, ces rôles sont un sous-ensemble des rôles disponibles dans le centre d'administration Microsoft Entra et le centre d'administration Intune.
Directives de sécurité pour l'attribution des rôles
Étant donné que les administrateurs ont accès aux données et fichiers sensibles, Microsoft recommande de suivre ces instructions pour sécuriser davantage les données de votre organisation.
| Action d'amélioration | Pourquoi cette recommandation est-elle importante ? |
|---|---|
| Établissez seulement deux à quatre administrateurs globaux. | Un administrateur global est le seul utilisateur qui peut réinitialiser le mot de passe d'un autre administrateur global. En tant que tel, Microsoft vous recommande d'avoir au moins deux administrateurs globaux dans votre organisation au cas où l'un d'entre eux connaîtrait un verrouillage de compte. L'administrateur général a un accès presque illimité aux paramètres de votre organisation et à la plupart de ses données. En tant que tel, Microsoft recommande également que vous n'ayez pas plus de quatre administrateurs globaux en raison de la menace pour la sécurité que représente le fait d'avoir trop d'administrateurs globaux. |
| Attribuez le rôle le moins permissif. | Attribuer le rôle le moins permissif signifie donner aux administrateurs uniquement l'accès dont ils ont besoin pour faire le travail. Par exemple, si vous souhaitez que quelqu'un réinitialise les mots de passe des employés, vous ne devez pas attribuer le rôle d'administrateur global illimité. Au lieu de cela, vous devez attribuer un rôle d'administrateur limité, comme Administrateur de mot de passe ou Administrateur du service d'assistance. Cette directive aide à protéger vos données. |
| Exiger une authentification multifacteur (MFA) pour les administrateurs. | C'est une bonne idée d'exiger MFA pour tous vos utilisateurs. Cependant, Microsoft recommande aux organisations d'exiger que tous leurs administrateurs utilisent MFA pour se connecter. L’authentification multifacteur demande aux utilisateurs d’entrer une deuxième méthode d’identification pour vérifier leur identité. Les administrateurs peuvent accéder aux données des clients et des employés. Si vous avez besoin de MFA, même si le mot de passe de l'administrateur est compromis, le mot de passe est inutile sans la deuxième forme d'identification. Lorsque vous activez MFA, la prochaine fois que l'utilisateur se connecte, il doit fournir une adresse e-mail et un numéro de téléphone alternatifs pour la récupération du compte. |
Les utilisateurs peuvent recevoir un message dans le Centre d’administration indiquant qu’ils ne disposent pas des autorisations nécessaires pour modifier un paramètre ou une page. Le système envoie ce message car l'utilisateur se voit attribuer des rôles qui ne disposent pas de cette autorisation.
Rôles communément utilisés dans le centre d’administration 365 Microsoft
Dans le Centre d’administration Microsoft 365, vous pouvez accéder aux Attributions de rôles puis sélectionner n’importe quel rôle pour ouvrir son volet de détails. Pour afficher la liste détaillée des tâches qu'un utilisateur affecté à ce rôle peut effectuer, sélectionnez l'onglet Autorisations. Sélectionnez l'onglet Administrateurs affectés ou Administrateurs affectés pour ajouter des utilisateurs à des rôles.
La page affiche une liste des rôles communs que la plupart des organisations utilisent. Le tableau suivant affiche les rôles les plus couramment attribués par une organisation.
| Rôle d’administrateur (ordre alphabétique) | À qui doit être affecté ce rôle ? |
|---|---|
| Administrateur de facturation | Affectez aux utilisateurs un administrateur de facturation qui peut effectuer des achats, gérer des demandes d’abonnement et de services et surveiller l’intégrité des services. Les administrateurs de facturation peuvent également : – Gérer tous les aspects de la facturation. - Créez et gérez des tickets de support dans le Centre d’administration Microsoft Manage. |
| Administrateur de conformité | Attribuez le rôle d'administrateur de conformité aux utilisateurs chargés d'aider votre organisation : – Restez conforme à toutes les exigences réglementaires. – Gérer les cas d'eDiscovery. – Maintenir les politiques de gouvernance des données sur les emplacements, les identités et les applications Microsoft 365. – Surveillez les politiques liées à la conformité dans les services Microsoft 365. – Gérer les alertes de conformité. – Effectuer des enquêtes juridiques et de données. – Gérer les demandes des personnes concernées. – Afficher toutes les données d'audit Intune. |
| Administrateur Exchange | Attribuez le rôle d’administrateur Exchange aux utilisateurs qui doivent afficher et gérer les boîtes aux lettres de messagerie de vos utilisateurs, les groupes Microsoft 365 et Exchange Online. L’administrateur Exchange est également responsable de la gestion du flux de messages dans Microsoft 365. Les administrateurs Exchange peuvent aussi : – Récupérer les éléments supprimés dans la boîte aux lettres d'un utilisateur. – Déterminez la durée de conservation des e-mails supprimés avant que le système ne les supprime définitivement. – Configurez les fonctionnalités de boîte aux lettres telles que la stratégie de partage de boîte aux lettres, qui détermine comment les utilisateurs peuvent partager des informations de calendrier et de contacts avec d'autres personnes extérieures à votre organisation. – Configurer, envoyer en tant que et envoyer de la part des délégués pour la boîte aux lettres de quelqu'un ; par exemple, lorsqu'un cadre souhaite que son assistant ait la permission d'envoyer du courrier au nom du cadre. – Créez des boîtes aux lettres partagées afin qu'un groupe de personnes puisse surveiller et envoyer des e-mails à partir d'une adresse e-mail commune. – Configurez des filtres anti-spam et anti-malware pour l'organisation. – Gérer les groupes Microsoft 365. Pour les utilisateurs auxquels le rôle d'administrateur Exchange a été attribué, Microsoft vous recommande de leur attribuer également le rôle d'administrateur de service. De cette façon, ils peuvent voir des informations importantes dans le centre d'administration Microsoft 365. Par exemple, la santé du service Exchange Online et les notifications de modification et de publication. |
| Administrateur général | Attribuez le rôle d'administrateur global aux utilisateurs qui ont besoin d'un accès global à la plupart des fonctionnalités et données de gestion sur les services en ligne Microsoft. Seuls les administrateurs globaux peuvent : – Réinitialisez les mots de passe pour tous les utilisateurs, y compris les autres administrateurs mondiaux. – Ajouter et gérer des domaines. – Débloquer un autre administrateur global. Le système attribue automatiquement le rôle d'administrateur général à la personne qui s'est inscrite aux services en ligne Microsoft 365. |
| Lecteur général | Attribuez le rôle de lecteur global aux utilisateurs qui doivent afficher les fonctionnalités et paramètres d’administration dans des centres d’administration que l’administrateur général peut afficher. Un administrateur lecteur global n'est pas autorisé à modifier des paramètres. |
| Administrateur de groupes | Attribuez le rôle d’administrateur de groupes aux utilisateurs qui doivent gérer tous les paramètres de groupes dans les centres d’administration, y compris le Centre d’administration Microsoft 365 et le Centre d’administration Microsoft Assistant. Les administrateurs de groupe peuvent : – Créer, modifier, supprimer et restaurer des groupes Microsoft 365. – Créer et mettre à jour les politiques de création, d'expiration et de nommage des groupes. - Créez, modifiez et supprimez des groupes de sécurité Microsoft Suppr. |
| Administrateur du support technique | Attribuez le rôle d'administrateur du Helpdesk aux utilisateurs qui doivent effectuer les tâches suivantes : – Réinitialiser les mots de passe. – Forcer les utilisateurs à se déconnecter. – Gérer les demandes de service. – Surveiller la santé du service. L’administrateur du support technique peut uniquement aider les utilisateurs non administrateurs et les utilisateurs auxquels les rôles suivants sont attribués : – Lecteur d'annuaire – Invité invité – Administrateur du helpdesk – Lecteur de centre de messages – Lecteur de rapports |
| Administrateur de licence | Affectez le rôle d’administrateur de licences aux utilisateurs qui doivent attribuer et supprimer des licences d’utilisateurs et modifier leur localisation d’utilisation. Les administrateurs de licences peuvent également : – Retraitez les attributions de licences pour les licences basées sur les groupes. – Attribuez des licences de produits à des groupes pour les licences basées sur les groupes. |
| Administrateur d’applications Office | Attribuez le rôle d'administrateur Office Apps aux utilisateurs qui doivent effectuer les tâches suivantes : – Utilisez le service de politique cloud d'Office pour créer et gérer des politiques basées sur le cloud pour Office. – Créer et gérer les demandes de service. – Gérez le contenu Nouveautés que les utilisateurs voient dans leurs applications Office. – Surveiller la santé du service. |
| Administrateur de mots de passe | Attribuez le rôle d’administrateur de mot de passe à un utilisateur qui doit réinitialiser les mots de passe pour les administrateurs de mot de passe et les administrateurs de mot de passe. |
| Lecteur du Centre de messages | Attribuez le rôle Lecteur du centre de messagerie aux utilisateurs qui doivent effectuer les tâches suivantes : – Surveiller les notifications du centre de messagerie. – Recevoir les résumés hebdomadaires de courrier sur les mises à jour et des publications du Centre de messages – Partagez les publications du centre de messagerie. - Bénéficiez d’un accès en lecture seule aux services Microsoft Barre, tels que les utilisateurs et les groupes. |
| Administrateur de Power Platform | Attribuez le rôle d'administrateur Power Platform aux utilisateurs qui doivent effectuer les tâches suivantes : – Gérez toutes les fonctionnalités d'administration pour Power Apps, Power Automate et la prévention des pertes de données. – Créer et gérer les demandes de service. – Surveiller la santé du service. |
| Lecteur de rapports | Attribuez le rôle de lecteur de rapports aux utilisateurs qui doivent effectuer les tâches suivantes : – Affichez les données d'utilisation et les rapports d'activité dans le centre d'administration Microsoft 365. – Accédez au pack de contenu d'adoption de Power BI. - Accédez aux rapports de connexion et à l’activité dans l’ID MicrosoftEscence. – Afficher les données renvoyées par l'API de création de rapports Microsoft Graph. |
| Administrateur de sécurité | Attribuez le rôle d'administrateur de sécurité aux administrateurs qui contrôlent la sécurité globale de votre organisation. Pour ce faire, ils gèrent les stratégies de sécurité, examinent les analyses et les rapports de sécurité sur les produits Microsoft 365 et se tiennent au courant du paysage des menaces. Les administrateurs de sécurité peuvent également : – Gérez les menaces et les alertes de sécurité. – Afficher les rapports. – Surveillez et répondez aux activités de sécurité suspectes. – Attribuez des rôles. – Gérer les groupes de machines. – Configurez la détection des menaces sur les terminaux et la correction automatisée. – Affichez, examinez et répondez aux alertes. – Afficher l'inventaire des machines/appareils. – Affichez les informations sur l'utilisateur, l'appareil, l'inscription, la configuration et l'application dans Intune. – Définissez le seuil et la durée des verrouillages lorsque des événements d'échec de connexion se produisent. – Configurez une liste de mots de passe interdits personnalisée ou une protection par mot de passe sur site. |
| Administrateur du service de prise en charge | Attribuez le rôle d'administrateur de support de service en tant que rôle supplémentaire aux administrateurs ou aux utilisateurs qui doivent effectuer les tâches suivantes en plus de leur rôle d'administrateur habituel : – Ouvrir et gérer les demandes de service. – Affichez et partagez les publications du centre de messagerie. – Surveiller la santé du service. |
| Administrateur SharePoint | Attribuez le rôle d’administrateur SharePoint aux utilisateurs qui doivent accéder et gérer le centre d’administration SharePoint Online. Les administrateurs SharePoint peuvent également : – Créer et supprimer des sites. – Gérez les collections de sites et les paramètres SharePoint globaux. – Définir les politiques et paramètres de profil utilisateur pour l'organisation, y compris la gestion des sites promus. – Créer des connexions Business Connectivity Services (BCS) à des sources de données qui se trouvent en dehors du site SharePoint Online. – Gérer les enregistrements en place, ce qui signifie que vous pouvez laisser un document à son emplacement actuel sur un site, ou stocker des enregistrements dans une archive spécifique. – Personnalisez l'expérience de recherche pour les utilisateurs. – Configurez SharePoint Online hybride avec un site SharePoint Online sur site. – Utilisez InfoPath Forms Services dans SharePoint Online pour déployer les formulaires de l'organisation sur ses sites, permettant aux utilisateurs de remplir ces formulaires dans un navigateur Web. |
| Administrateur de Teams | Attribuez le rôle d’administrateur Teams aux utilisateurs qui doivent accéder et gérer le centre d’administration Teams. Les administrateurs Teams peuvent également : – Gérer et créer des groupes Microsoft 365. – Gérer les réunions. – Gérer les ponts de conférence. – Gérer tous les paramètres à l’échelle de l’organisation, notamment la fédération, le changement de niveau des équipes et les paramètres client des équipes. – Résoudre les problèmes de communication au sein des équipes. |
| Administrateur d’utilisateurs | Attribuez le rôle d'administrateur d'utilisateurs aux utilisateurs qui doivent effectuer les tâches suivantes pour tous les utilisateurs : – Ajouter des utilisateurs et des groupes. – Attribuez des licences. – Gérer la plupart des propriétés des utilisateurs. – Créer et gérer des vues utilisateur. – Mettre à jour les politiques d'expiration des mots de passe. – Gérer les demandes de service. – Surveiller la santé du service. L'administrateur de l'utilisateur peut également effectuer les actions suivantes : – Gérer les noms d'utilisateur. – Supprimer et restaurer des utilisateurs. – Réinitialiser les mots de passe. – Forcer les utilisateurs à se déconnecter. – Mettre à jour les clés de l'appareil (FIDO). L'administrateur de l'utilisateur peut effectuer ces tâches pour les utilisateurs qui ne sont pas administrateurs et pour les utilisateurs auxquels les rôles suivants ont été attribués : – Lecteur d'annuaire – Invité invité – Administrateur du helpdesk – Lecteur de centre de messages – Lecteur de rapports |
Conseil
Si vous ne trouvez pas un rôle dans cette liste, allez au bas de la liste et sélectionnez Tout afficher par catégorie. Cette option trie tous les rôles disponibles par catégorie.
Lecture supplémentaire. Pour plus d’informations, y compris les applets de commande Windows PowerShell associées à un rôle, consultez rôles intégrés Microsoft.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante. Ensuite, sélectionnez « Vérifiez vos réponses ».