Esplorare i ruoli di amministratore Microsoft 365
Un abbonamento a Microsoft 365 include un set di ruoli di amministratore che possono essere assegnati a determinati utenti all'interno dell'organizzazione tramite l'interfaccia di amministrazione di Microsoft 365. Ogni ruolo di amministratore esegue il mapping a funzioni aziendali comuni. Consentono agli utenti dell'organizzazione di eseguire attività specifiche nelle interfacce di amministrazione.
Nota
L'interfaccia di amministrazione di Microsoft 365 consente di gestire i ruoli di Microsoft Entra e i ruoli di Microsoft Intune. Tuttavia, questi ruoli sono un sottoinsieme dei ruoli disponibili nell’interfaccia di amministrazione di Microsoft Entra e nell’interfaccia di amministrazione di Intune.
Linee guida di sicurezza per l'assegnazione di ruoli
Dato che gli amministratori hanno accesso a file e dati sensibili, è consigliabile seguire queste linee guida per proteggere i dati dell'organizzazione.
Consiglio
Perché questa raccomandazione è importante?
Stabilire solo due o quattro amministratori globali.
La password di un amministratore globale può essere reimpostata solo da un altro amministratore globale. Di conseguenza, è consigliabile avere almeno due amministratori globali nell'organizzazione nel caso in cui uno degli amministratori subisca un blocco dell'account.
L'amministratore globale ha accesso quasi illimitato alle impostazioni dell'organizzazione e alla maggior parte dei dati. Di conseguenza, è anche consigliabile non avere più di quattro amministratori globali a causa della minaccia per la sicurezza dovuta alla presenza di un numero eccessivo di amministratori globali.
Assegnare il ruolo meno permissivo.
Se si assegna il ruolo meno permissivo, gli amministratori avranno solo l'accesso di cui hanno bisogno per completare l'attività.
Ad esempio, se si vuole che qualcuno ripristini le password dei dipendenti, non è consigliabile assegnare il ruolo di amministratore globale illimitato. È invece consigliabile assegnare un ruolo di amministratore limitato, ad esempio Amministratore password o Amministratore helpdesk. Questa linea guida consente di proteggere i dati.
Richiedere l'autenticazione a più fattori (MFA) per gli amministratori.
In realtà, l'autenticazione a più fattori è consigliabile per tutti gli utenti, ma a maggior ragione per l'accesso degli amministratori dovrebbe essere un requisito imprescindibile. L'autenticazione a più fattori consente agli utenti di immettere un secondo metodo di identificazione per verificare la loro identità.
Gli amministratori possono avere accesso ai dati dei clienti e dei dipendenti. Quando si applica l'autenticazione a più fattori, anche se la password dell'amministratore dovesse essere compromessa, sarebbe comunque inutilizzabile senza la seconda forma di identificazione.
Quando si attiva l'autenticazione a più fattori, al successivo accesso l'utente dovrà specificare un indirizzo di posta elettronica alternativo e un numero di telefono per il ripristino dell'account.
Gli utenti possono ricevere un messaggio nell'interfaccia di amministrazione che indica loro di non avere le autorizzazioni per modificare un'impostazione o una pagina. Ricevono questo messaggio perché gli è stato assegnato un ruolo che non dispone di tale autorizzazione.
Ruoli dell'interfaccia di amministrazione di Microsoft 365 di uso comune
Nell'interfaccia di amministrazione di Microsoft 365 è possibile passare a Assegnazioni di ruolo e selezionare un ruolo per aprire il relativo riquadro dei dettagli. Selezionare la scheda Autorizzazioni per visualizzare l'elenco dettagliato delle autorizzazioni di cui dispongono gli amministratori a cui è assegnato quel ruolo. Selezionare la scheda Assegnate o Amministratori assegnati per aggiungere utenti ai ruoli.
Per impostazione predefinita, vengono visualizzati per primi solo i ruoli più comuni usati dalla maggior parte delle organizzazioni. Se non si riesce a trovare un ruolo, selezionare Mostra tutto per categoria in fondo all'elenco. Nella tabella seguente vengono visualizzati i ruoli assegnati in genere da un'organizzazione.
Ruolo amministratore (ordine alfabetico)
A chi è opportuno assegnare questo ruolo?
Amministratore fatturazione
Assegna il ruolo di amministratore fatturazione agli utenti che effettuano acquisti, gestisci abbonamenti e richieste di servizi ed esegui il monitoraggio dell'integrità dei servizi.
Gli amministratori della fatturazione possono anche: - Gestire tutti gli aspetti della fatturazione. Crea e gestisci ticket di supporto nel portale di Azure.
Amministratore di conformità
Assegnare il ruolo di amministratore della conformità agli utenti responsabili dell'assistenza all'organizzazione: - Rimanere conformi ai requisiti normativi. - Gestire i casi di eDiscovery. - Gestire i criteri di governance dei dati in posizioni, identità e app Microsoft 365. - Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365. - Gestire gli avvisi di conformità. - Eseguire analisi sui dati e di carattere legale. - Gestire le richieste degli interessati. - Visualizzare tutti i dati di controllo di Intune.
Amministratore di Exchange
Assegnare il ruolo di amministratore di Exchange agli utenti che hanno la necessità di visualizzare e gestire le cassette postali di posta elettronica degli utenti, i gruppi di Microsoft 365 ed Exchange Online. L'amministratore Exchange è anche responsabile della gestione del flusso dei messaggi in Microsoft 365.
Gli amministratori di Exchange possono anche: - Recuperare gli elementi eliminati nella cassetta postale di un utente. - Determinare per quanto tempo deve essere conservato il messaggio di posta elettronica eliminato prima che venga eliminato definitivamente. - Impostare le caratteristiche delle cassette postali, ad esempio i criteri di condivisione della cassetta postale, che determinano con che modalità gli utenti possono condividere le informazioni su calendario e contatti con altri utenti all'esterno dell'organizzazione. - Configurare i delegati SendAs e Send on Behalf per la cassetta postale di un utente; ad esempio, quando un dirigente vuole che il proprio assistente abbia l'autorizzazione per inviare posta per suo conto. - Creare cassette postali condivise in modo che un gruppo di persone possa monitorare e inviare la posta elettronica da un indirizzo comune. - Configurare i filtri anti-spam e malware per l'organizzazione. - Gestire Gruppi di Microsoft 365. È consigliabile assegnare anche agli utenti a cui è assegnato il ruolo di amministratore di Exchange il ruolo Amministratore del servizio. In questo modo potrà accedere a informazioni importanti nell’interfaccia di amministrazione di Office 365, ad esempio l'integrità del servizio di Exchange Online e le notifiche relative a modifiche e rilasci.
Amministratore globale
Assegnare il ruolo di amministratore globale agli utenti che hanno bisogno dell'accesso globale alla maggior parte delle funzionalità di gestione e dei dati in Microsoft Online Services.
Solo gli amministratori globali possono: - Reimpostare le password per tutti gli utenti. - Aggiungere e gestire domini. - Sbloccare un altro amministratore globale.
Nota: alla persona che ha effettuato l'iscrizione ai Microsoft Online Services viene assegnato automaticamente il ruolo di amministratore globale.
Ruolo con autorizzazioni di lettura globali
Assegnare il ruolo con autorizzazioni di lettura globali agli utenti che hanno l'esigenza di visualizzare funzionalità e impostazioni di amministrazione nelle interfacce di amministrazione che l'amministratore globale può visualizzare. L'amministratore con il ruolo con autorizzazioni di lettura globali non può modificare impostazioni.
Amministratore gruppi
Assegnare il ruolo di amministratore dei gruppi agli utenti che devono gestire tutte le impostazioni dei gruppi nelle interfacce di amministrazione, comprese l'Interfaccia di amministrazione di Microsoft 365 e l’Interfaccia di amministrazione di Microsoft Entra.
Gruppi amministratori possono: - Create, modificare, eliminare e ripristinare gruppi di Microsoft 365. - Creare e aggiornare criteri per la creazione, la scadenza e la denominazione dei gruppi. - Create, modificare, eliminare e ripristinare gruppi di sicurezza Microsoft Entra.
Amministratore del supporto tecnico
Assegnare il ruolo di amministratore helpdesk agli utenti che devono completare le attività seguenti: - Reimpostare le password. - Forzare gli utenti a disconnettersi. - Gestire le richieste di servizio. - Monitorare l'integrità dei servizi.
L'amministratore del supporto tecnico può aiutare solo gli utenti non amministratori e gli utenti a cui sono stati assegnati i ruoli seguenti: - Lettore di directory - Guest inviter - Helpdesk admin - Message center reader - Reports reader
Amministratore delle licenze
Assegna il ruolo di amministratore della licenza agli utenti che devono assegnare e rimuovere licenze dagli utenti e modificarne la posizione di utilizzo.
Gli amministratori delle licenze possono anche: - Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo. - Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo.
Amministratore delle app di Office
Assegnare il ruolo di amministratore di Office Apps agli utenti che devono completare le attività seguenti: - Usare il servizio criteri cloud di Office per creare e gestire criteri basati sul cloud per Office. - Creare e gestire richieste di servizio. - Gestire i contenuti "Novità" che gli utenti vedono nelle app di Office. - Monitorare l'integrità dei servizi.
Amministratore password
Assegnare il ruolo di amministratore della password a un utente che deve reimpostare le password per utenti non amministratori e amministratori di password.
Amministratore che legge il Centro messaggi
Assegnare il ruolo lettore del Centro messaggi agli utenti che devono completare le attività seguenti: - Monitorare le notifiche del centro messaggi. - Ottenere digest settimanali di messaggi di posta elettronica di post e aggiornamenti del centro messaggi - Condividere i post del centro messaggi. - Avere accesso in sola lettura ai servizi di Microsoft Entra, ad esempio utenti e gruppi.
Amministratore di Power Platform
Assegnare il ruolo di amministratore di Power Platform agli utenti che devono completare le attività seguenti: - Gestire tutte le funzionalità di amministratore per Power Apps, Power Automate e la prevenzione della perdita dei dati. - Creare e gestire richieste di servizio. - Monitorare l'integrità dei servizi.
Amministratore che legge i report
Assegnare il ruolo di lettore Report agli utenti che devono completare le attività seguenti: - Visualizzare i dati di utilizzo e i report attività nel interfaccia di amministrazione di Microsoft 365. - Accedere al pacchetto di contenuto di adozione di Power BI. - Accedere alle attività e ai report sugli accessi in Microsoft Entra ID. - Visualizzare i dati restituiti dall'API di creazione report di Microsoft Graph.
Amministratore della sicurezza
Assegnare il ruolo di amministratore della sicurezza agli amministratori che controllano la sicurezza complessiva dell'organizzazione. A tale scopo gestiscono i criteri di sicurezza, esaminando l'analisi e i report della sicurezza nei prodotti di Microsoft 365 e tenendosi informato sul panorama delle minacce.
Gli amministratori della sicurezza possono anche: - Gestire le minacce e gli avvisi di sicurezza. - Visualizzare i report. - Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza. - Assegnare ruoli. - Gestire i gruppi di computer. - Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione. - Visualizzare, analizzare e rispondere agli avvisi. - Visualizzare l'inventario di computer/dispositivi. - Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione in Intune. - Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riusciti. - Configurare l'elenco personalizzato di password escluse o la protezione delle password locali.
Amministratore del supporto tecnico
Assegnare il ruolo di amministratore del supporto del servizio come ruolo aggiuntivo agli amministratori o agli utenti che devono completare le attività seguenti oltre al ruolo di amministratore consueto: - Aprire e gestire le richieste di servizio. - Visualizzare e condividere i post del Centro messaggi. - Monitorare l'integrità dei servizi.
Amministratore di SharePoint
Assegnare il ruolo di amministratore di SharePoint agli utenti che devono accedere e gestire l'interfaccia di amministratore di SharePoint Online.
Gli amministratori di SharePoint possono anche: - Create ed eliminare siti. - Gestire raccolte siti e impostazioni globali di SharePoint. - Definire i criteri e le impostazioni del profilo utente per l'organizzazione, inclusa la gestione dei siti alzati di livello. - Creare connessioni di Servizi di integrazione applicativa (BCS) a origini dati esterne al sito SharePoint Online. - Gestire i record in posizione, ovvero lasciare un documento nella sua posizione corrente in un sito o salvare i record in un archivio specifico. - Personalizzare l'esperienza di ricerca per l'istituto di istruzione. - Configurare SharePoint ibrido online con un sito SharePoint Online locale. -.Usare InfoPath Forms Services in SharePoint Online per distribuire i moduli dell'organizzazione nei propri siti, consentendo agli utenti di compilare questi moduli in un Web browser.
Amministratore di Teams
Assegnare il ruolo di amministratore di Teams agli utenti che devono accedere e gestire l'interfaccia di amministratore di Teams.
L'amministratore di Teams può anche: - Gestire e creare gruppi di Microsoft 365. - Gestire le riunioni. - Gestire i bridge di conferenza. - Gestire tutte le impostazioni a livello di organizzazione, tra cui federazione, aggiornamento dei team e impostazioni client di Teams. - Risolvere i problemi di comunicazione all'interno di Teams.
Amministratore utenti
Assegnare il ruolo di amministratore utente agli utenti che devono completare le attività seguenti per tutti gli utenti: - Aggiungere utenti e gruppi. - Assegna licenze. - Gestire la maggior parte delle proprietà degli utenti. - Creare e gestire le visualizzazioni dell'utente. - Aggiornare i criteri di scadenza delle password. - Gestire le richieste di servizio. - Monitorare l'integrità dei servizi.
L'amministratore utente può anche completare le azioni seguenti: - Gestire i nomi utente. Eliminare e ripristinare utenti. - Reimpostare le password. - Forzare gli utenti a disconnettersi. - Aggiornare le chiavi del dispositivo (FIDO).
L'amministratore utente può completare queste attività per gli utenti che non sono amministratori e per gli utenti a cui sono stati assegnati i ruoli seguenti: - Lettore di directory - Guest inviter - Helpdesk admin - Message center reader - Reports reader
Letture aggiuntive. Per informazioni dettagliate, inclusi i cmdletdi Windows PowerShell associati a un ruolo, vedere Ruoli predefiniti di Microsoft Entra.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti. Quindi selezionare "Controlla le risposte".
Scegliere la risposta migliore per ognuna di queste domande. Quindi selezionare Controlla le risposte.