Informazioni sui ruoli di amministratore nell'interfaccia di amministrazione di Microsoft 365

Consultare la Guida per le piccole imprese di Microsoft 365 su YouTube.

La sottoscrizione di Microsoft 365 o Office 365 include un set di ruoli di amministratore che è possibile assegnare agli utenti dell'organizzazione usando il interfaccia di amministrazione di Microsoft 365. Ogni ruolo di amministratore è associato a funzioni aziendali comuni e assegna le autorizzazioni per eseguire determinate attività nelle interfacce di amministrazione.

L'interfaccia di amministrazione di Microsoft 365 consente di gestire i ruoli di Azure Active Directory e i ruoli di Microsoft Intune. Questi ruoli, tuttavia, sono un sottoinsieme dei ruoli disponibili nel portale di Azure AD e nell'interfaccia di amministrazione di Intune.

Consiglio

Per assistenza con i passaggi descritti in questo argomento, è consigliabile collaborare con uno specialista di piccole imprese Microsoft. Con Business Assist, tu e i tuoi dipendenti ottenete l'accesso 24 ore su 24 agli specialisti delle piccole imprese man a seconda della crescita dell'azienda, dall'onboarding all'uso quotidiano.

Guardare: Che cos'è un amministratore?

È possibile guardare questo video e altri sul nostro canale YouTube.

  1. Dopo aver eseguito l'accesso a Microsoft 365, selezionare l'icona di avvio delle app. Se viene visualizzato il pulsante Amministrazione, si è un amministratore.
  2. Selezionare Amministratore per passare all'interfaccia di amministrazione di Microsoft 365.
  3. Nel riquadro di spostamento sinistro, selezionare Utenti>Utenti attivi.
  4. Selezionare la persona che si desidera rendere un amministratore. I dettagli dell'utente vengono visualizzati nella finestra di dialogo a destra.

Prima di iniziare

Per le descrizioni dettagliate dei ruoli di Azure AD che è possibile gestire nell'interfaccia di amministrazione di Microsoft 365, vedere l'articolo sulle autorizzazioni del ruolo di amministratore in Azure Active Directory. Ruoli predefiniti di Azure AD

Per le descrizioni dettagliate dei ruoli di Intune che è possibile gestire nell'interfaccia di amministrazione di Microsoft 365, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Per altre informazioni sull'assegnazione di ruoli nell'interfaccia di amministrazione di Microsoft 365, vedere Assegnare ruoli di amministratore.

Linee guida di sicurezza per l'assegnazione di ruoli

Dato che gli amministratori hanno accesso a file e dati sensibili, è consigliabile seguire queste linee guida per proteggere i dati dell'organizzazione.

Consiglio Perché è importante?
Avere da 2 a 4 amministratori globali Gli amministratori globali hanno accesso quasi illimitato alle impostazioni dell'organizzazione e alla maggior parte dei relativi dati. È consigliabile limitare il più possibile il numero di amministratori globali. Un Amministrazione globale può bloccare inavvertitamente l'account e richiedere una reimpostazione della password. Un altro Amministrazione globale o un Amministrazione di autenticazione con privilegi può reimpostare la password di un Amministrazione globale. Pertanto, è consigliabile avere almeno un altro Amministrazione globale o un Amministrazione di autenticazione con privilegi nel caso in cui un Amministrazione globale blocchi il proprio account.
Assegnare il ruolo meno permissivo Se si assegna il ruolo meno permissivo, gli amministratori avranno solo l'accesso di cui hanno bisogno per completare l'attività. Ad esempio, se si vuole che qualcuno ripristini le password dei dipendenti, non assegnare il ruolo di amministratore globale illimitato, è necessario assegnare un ruolo di amministratore limitato, ad esempio Amministratore password o Amministratore helpdesk. Ciò consentirà di proteggere i dati.
Richiedere l'autenticazione a più fattori per gli amministratori In realtà l'autenticazione a più fattori è consigliabile per tutti gli utenti, ma a maggior ragione per l'accesso degli amministratori dovrebbe essere un requisito imprescindibile. L'autenticazione a più fattori consente agli utenti di immettere un secondo metodo di identificazione per verificare la loro identità. Gli amministratori possono avere accesso a molti dati di clienti e dipendenti e, quando si applica l'autenticazione a più fattori, anche se la password dell'amministratore dovesse essere compromessa, sarebbe comunque inutilizzabile senza la seconda forma di identificazione.

Quando si attiva l'autenticazione a più fattori, al successivo accesso l'utente dovrà specificare un indirizzo di posta elettronica alternativo e un numero di telefono per il ripristino dell'account.
Configurare l'autenticazione a più fattori

Se nell'interfaccia di amministrazione viene visualizzato un messaggio che informa che non si hanno le autorizzazioni necessarie per modificare un'opzione o una pagina, è possibile che il ruolo di cui si dispone sia privo di tale autorizzazione.

Ruoli dell'interfaccia di amministrazione di Microsoft 365 di uso comune

Nell'interfaccia di amministrazione di Microsoft 365 è possibile passare a Assegnazioni di ruolo e quindi selezionare un ruolo per aprire il relativo riquadro dei dettagli. Selezionare la scheda Autorizzazioni per visualizzare l'elenco dettagliato delle autorizzazioni di cui dispongono gli amministratori a cui è assegnato quel ruolo. Selezionare la scheda Assegnate o Amministratori assegnati per aggiungere utenti ai ruoli.

Probabilmente sarà necessario assegnare solo i ruoli seguenti nell'organizzazione. Per impostazione predefinita, vengono visualizzati i ruoli usati dalla maggior parte delle organizzazioni. Se non si riesce a trovare un ruolo, selezionare Mostra tutto per categoria in fondo all'elenco. (per informazioni dettagliate, inclusi i cmdlet associati a un ruolo, vedere Ruoli predefiniti di Azure AD).

Ruolo di amministratore A chi è opportuno assegnare questo ruolo?
Amministratore fatturazione Assegna il ruolo di amministratore fatturazione agli utenti che effettuano acquisti, gestisci abbonamenti e richieste di servizi ed esegui il monitoraggio dell'integrità dei servizi.

Gli amministratori fatturazione possono anche fare quanto segue:
- Gestisci tutti gli aspetti della fatturazione
- Crea e gestisci ticket di supporto nel portale di Azure
Amministratore di Exchange Assegnare il ruolo di amministratore di Exchange agli utenti che hanno la necessità di visualizzare e gestire le cassette postali di posta elettronica degli utenti, i gruppi di Microsoft 365 ed Exchange Online.

Gli amministratori di Exchange possono anche:
- Recuperare gli elementi eliminati nella cassetta postale di un utente
- Configurare i delegati "Invia come"e "Invia per conto di"
Amministratore globale Assegnare il ruolo di amministratore globale agli utenti che hanno bisogno dell'accesso globale alla maggior parte delle funzionalità di gestione e dei dati in Microsoft Online Services.

Concedere l'accesso globale a troppi utenti costituisce un rischio per la sicurezza; si consiglia di configurare tra 2 e 4 amministratori globali.

Solo gli amministratori globali possono:
- Reimpostare le password per tutti gli utenti
- Aggiungere e gestire domini
- Sblocca un altro amministratore globale

Nota: La persona che ha effettuato l'iscrizione a Microsoft Servizi online diventa automaticamente un amministratore globale.
Ruolo con autorizzazioni di lettura globali Assegnare il ruolo con autorizzazioni di lettura globali agli utenti che hanno l'esigenza di visualizzare funzionalità e impostazioni di amministrazione nelle interfacce di amministrazione che l'amministratore globale può visualizzare. L'amministratore con il ruolo con autorizzazioni di lettura globali non può modificare impostazioni.
Amministratore gruppi Assegna il ruolo di amministratore dei gruppi agli utenti che devono gestire tutte le impostazioni dei gruppi nelle interfacce di amministrazione, compresi l'interfaccia di amministrazione di Microsoft 365 e il portale di Azure Active Directory.

Gli amministratori dei gruppi possono:
- Creare, modificare, eliminare e ripristinare gruppi di Microsoft 365
- Creare e aggiornare criteri per la creazione, la scadenza e la denominazione dei gruppi
- Creare, modificare, eliminare e ripristinare gruppi di sicurezza di Azure Active Directory
Amministratore di supporto tecnico Assegnare il ruolo di amministratore di supporto tecnico agli utenti che devono eseguire le azioni seguenti:
- Reimpostare password
- Forzare gli utenti a disconnettersi
- Gestire le richieste di servizio
- Monitorare l'integrità dei servizi

Nota: l'amministratore di supporto tecnico può solo assistere gli utenti che non sono amministratori e gli utenti a cui sono assegnati i ruoli seguenti: ruolo con autorizzazioni di lettura nella directory, mittente dell'invito guest, amministratore di supporto tecnico, ruolo con autorizzazioni di lettura per il Centro messaggi e ruolo con autorizzazioni di lettura per i report.
Amministratore licenze Assegna il ruolo di amministratore della licenza agli utenti che devono assegnare e rimuovere licenze dagli utenti e modificarne la posizione di utilizzo.

Gli amministratori delle licenze possono anche fare quanto segue:
- Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
- Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
Ruolo con autorizzazioni di lettura della privacy per il Centro messaggi Assegnare il ruolo con autorizzazioni di lettura della privacy per il Centro messaggi agli utenti che devono leggere i messaggi e gli aggiornamenti relativi alla privacy e alla sicurezza nel Centro messaggi di Microsoft 365. Gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono ricevere notifiche tramite posta elettronica relative alla privacy dei dati, a seconda delle loro preferenze, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo gli amministratori globali e gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo non dispone dell'autorizzazione per visualizzare, creare o gestire le richieste di servizio.

Gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono anche:
- Monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati
- Visualizzare gruppi, domini e abbonamenti
Amministratore che legge il Centro messaggi Assegnare il ruolo di lettore del Centro messaggi agli utenti che devono eseguire le operazioni seguenti:
- Monitorare le notifiche del Centro messaggi
- Ricevere riepiloghi tramite email settimanali sui post e sugli aggiornamenti del Centro messaggi
- Condividere i post del Centro messaggi
- Avere accesso in sola lettura ai servizi di Azure AD, ad esempio utenti e gruppi
Amministratore delle app di Office Assegnare il ruolo di amministratore delle app di Office agli utenti che devono eseguire le operazioni seguenti:
- Usare il servizio Criteri cloud per Microsoft 365 per creare e gestire criteri basati sul cloud per Office
- Creare e gestire richieste di servizio
- Gestire i contenuti "Novità" che gli utenti vedono nelle app di Office
- Monitorare l'integrità dei servizi
Writer di messaggi dell'organizzazione Assegnare il ruolo Writer messaggi dell'organizzazione agli utenti che devono scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici dei prodotti Microsoft.
Amministratore password Assegnare il ruolo di amministratore della password a un utente che deve reimpostare le password per utenti non amministratori e amministratori di password.
Amministratore di Power Platform Assegnare il ruolo di amministratore Power Platform agli utenti che devono eseguire le operazioni seguenti:
- Gestire tutte le funzionalità di amministratore per PowerApps,Power Automate e prevenzione della perdita dei dati di Microsoft Purview.
- Creare e gestire richieste di servizio
- Monitorare l'integrità dei servizi
Amministratore che legge i report Assegnare il ruolo amministratore che legge i report agli utenti che devono eseguire le azioni seguenti:
- Visualizzare i dati di utilizzo e i report attività nell'interfaccia di amministrazione di Microsoft 365
- Ottenere l'accesso al pacchetto di contenuti per l'adozione di Power BI
- Accedere ai report di accesso e delle attività in Azure AD
- Visualizzare i dati restituiti dall'API per la creazione di report di Microsoft Graph
Amministratore del supporto dei servizi Assegnare il ruolo di amministratore del supporto dei servizi come ruolo aggiuntivo agli amministratori o agli utenti che devono eseguire le seguenti operazioni oltre al loro ruolo di amministratore regolare:
- Aprire e gestire le richieste di servizio
- Visualizzare e condividere i post del Centro messaggi
- Monitorare l'integrità dei servizi
Amministratore di SharePoint Assegnare il ruolo di amministratore di SharePoint agli utenti che devono accedere e gestire l'interfaccia di amministratore di SharePoint Online.

Gli amministratori di SharePoint possono anche:
-Creare ed eliminare siti
- Gestire raccolte siti e impostazioni globali di SharePoint
Amministratore di Teams Assegnare il ruolo di amministratore di Teams agli utenti che devono accedere e gestire l'interfaccia di amministratore di Teams.

L'amministratore di Teams può anche:
- Gestire riunioni
- Gestire i bridge di conferenza
- Gestire tutte le impostazioni a livello di organizzazione, inclusi federazione, aggiornamento di Teams e impostazioni del client Teams
Amministratore utenti Assegnare il ruolo di amministratore utenti agli utenti che devono eseguire le operazioni seguenti per tutti gli utenti:
- Aggiungere utenti e gruppi
- Assegnare licenze
-Gestire la maggior parte delle proprietà degli utenti
- Creare e gestire le visualizzazioni utente
- Aggiornare i criteri di scadenza delle password
- Gestire le richieste di servizio
- Monitorare l'integrità dei servizi

L'amministratore utenti può eseguire le azioni seguenti anche per gli utenti che non sono amministratori e a cui è assegnato il ruolo con autorizzazioni di lettura nella directory, mittente dell'invito guest, amministratore di supporto tecnico, il ruolo con autorizzazioni di lettura per il Centro messaggi e il ruolo con autorizzazioni di lettura per i report:
- Gestire i nomi utente
- Eliminare e ripristinare utenti
- Reimpostare password
- Forzare gli utenti a disconnettersi
- Aggiornare le chiavi del dispositivo (FIDO)
User Experience Success Manager Assegnare il ruolo User Experience Success Manager agli utenti che devono accedere a Experience Insights, al punteggio di adozione e al Centro messaggi nel interfaccia di amministrazione di Microsoft 365. Questo ruolo include le autorizzazioni del ruolo Lettore report di riepilogo utilizzo.

Autorizzazioni basate su Amministrazione ruolo e tipo di gruppo nella pagina Amministrazione M365

ruolo Amministrazione Gruppi M365 Security Groups Gruppi di distribuzione Gruppi di sicurezza abilitati per la posta elettronica
Amministratore globale Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare
Ruolo con autorizzazioni di lettura globali Lettura Lettura Lettura Lettura
Amministratore utenti Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare Lettura Lettura
Amministratore di Exchange Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare: solo i gruppi di cui sono proprietari Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare
Amministratore di Teams Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare: solo i gruppi di cui sono proprietari Lettura Lettura
Amministratore di SharePoint Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare solo i gruppi di cui sono proprietari Lettura Lettura
Amministratore fatturazione Lettura Lettura Lettura Lettura
Amministratore di Skype Lettura Lettura Lettura Lettura
Amministratore del servizio Lettura Lettura Lettura Lettura
Amministratore del gruppo Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare Lettura Lettura

Amministrazione con delega per partner Microsoft

Se si collabora con un partner Microsoft, è possibile assegnargli un ruolo di amministratore. Il partner a sua volta può assegnare un ruolo di amministratore ad altri utenti della propria azienda o di quella con cui collabora. È possibile che lo facciano, ad esempio, se stanno configurando e gestendo l'organizzazione online.

Un partner può assegnare questi ruoli:

  • Agente amministratore Privilegi equivalenti a un amministratore globale, ad eccezione della gestione dell'autenticazione a più fattori tramite il Partner Center.

  • Agente help desk Privilegi equivalenti a quelli del ruolo di amministratore di supporto tecnico.

Prima che il partner possa assegnare questi ruoli agli utenti, è necessario aggiungerlo come amministratore con delega al proprio account. Il processo viene avviato da un partner autorizzato, che invia un messaggio di posta elettronica nel quale richiede l'autorizzazione ad agire come amministratore con delega. Per istruzioni, vedere Autorizzare o rimuovere relazioni con i partner.

Assegnare ruoli di amministratore (articolo)
Ruoli di Azure AD nell'interfaccia di amministrazione di Microsoft 365 (articolo)
Report sulle attività nell'interfaccia di amministrazione di Microsoft 365 (aticolo)
Ruolo di amministratore di Exchange Online (articolo)