Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Ознакомьтесь со справкой по Microsoft 365 для малого бизнеса на YouTube. Эти ресурсы особенно полезны для администраторов малого бизнеса, которые не знакомы с Microsoft 365.
Для выполнения таких задач, как добавление пользователей, назначение лицензий или настройка служб, необходимо назначить роль администратора. Ваша подписка на Microsoft 365 или Office 365 поставляется с набором ролей администратора, которые можно назначить в Центр администрирования Microsoft 365. Каждая роль администратора сопоставляется с общими бизнес-функциями и предоставляет пользователям в организации разрешения на выполнение определенных задач в центрах администрирования. В этой статье приводятся общие сведения о ролях администратора, рекомендациях по безопасности и ссылках на связанное содержимое.
Видео. Кто такой администратор?
Ознакомьтесь с этим и другими видео на нашем YouTube-канале.
Перейдите к Центр администрирования Microsoft 365 и войдите в систему. Если вы можете получить доступ к Центр администрирования Microsoft 365, вы являетесь администратором и можете перейти к следующему шагу.
В области навигации слева выберите Пользователи>Активные пользователи.
Выберите учетную запись пользователя, которого вы хотите сделать администратором. Сведения о пользователе отображаются в правом диалоговом окне.
Подготовка к работе
Центр администрирования Microsoft 365 позволяет управлять ролями Microsoft Entra и ролями Microsoft Intune. Однако эти роли являются подмножеством ролей, доступных в Центр администрирования Microsoft Entra и Центре администрирования Microsoft Intune.
- Полный список подробных описаний Microsoft Entra ролей, которыми можно управлять в Центр администрирования Microsoft 365, проверка разрешения роли администратора в Microsoft Entra встроенных ролей.
- Полный список подробных описаний Intune ролей, которыми можно управлять в Центр администрирования Microsoft 365, проверка управление доступом на основе ролей (RBAC) с Microsoft Intune.
Подробнее о назначении ролей в Центре администрирования Microsoft 365 см. в статье Назначение ролей администратора.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями и ограничить количество пользователей, имеющих административные разрешения.
Рекомендации по обеспечению безопасности при назначении ролей
Так как администраторы имеют доступ к конфиденциальным данным и файлам, рекомендуется следовать этим рекомендациям, чтобы обеспечить безопасность данных вашей организации.
| Рекомендация | Почему это важно |
|---|---|
| Иметь как можно меньше глобальных администраторов | Глобальные администраторы имеют практически неограниченный доступ к параметрам вашей организации и большей части ее данных. Мы рекомендуем максимально ограничить число глобальных администраторов. Глобальный администратор может случайно заблокировать свою учетную запись и потребовать сброса пароля. Другой глобальный администратор или администратор привилегированной проверки подлинности может сбросить пароль глобального администратора. Поэтому рекомендуется иметь по крайней мере администратора привилегированной проверки подлинности в том случае, если глобальный администратор заблокирован в своей учетной записи. |
| Назначайте роль с минимальными разрешениями | Назначение наименее разрешительной роли означает предоставление администраторам только доступа, необходимого для выполнения задания. Например, если вы хотите, чтобы кто-то сбросил пароли пользователей, не следует назначать неограниченную роль глобального администратора. Вместо этого следует назначить ограниченную роль администратора, например администратор паролей или администратор службы поддержки. |
| Требовать многофакторную проверку подлинности (MFA) для администраторов | Рекомендуется требовать многофакторную проверку подлинности для всех пользователей, особенно администраторов. MFA заставляет пользователей использовать второй метод идентификации для проверки своей личности. Администраторы могут иметь доступ к данным пользователей, таким как их имя, адрес электронной почты, расположение и т. д. Если требуется MFA, даже если пароль администратора скомпрометирован, одного пароля недостаточно для входа без другого метода идентификации. Когда вы включаете MFA, при следующем входе пользователя ему потребуется указать другой адрес электронной почты и номер телефона на случай восстановления учетной записи. Настройка многофакторной проверки подлинности |
Если в Центр администрирования Microsoft 365 вы получаете сообщение о том, что у вас нет разрешений на изменение параметра или страницы, это связано с тем, что вам назначена роль, которая не имеет этого разрешения. В этом случае выполните одно из следующих действий:
- Обратитесь к другому администратору, чтобы назначить вам правильные разрешения.
- Узнайте больше о назначении ролей администратора. См. раздел Назначение ролей администратора.
- Обратитесь в службу поддержки Microsoft 365 для бизнеса.
Часто используемые роли Центра администрирования Microsoft 365
Чтобы просмотреть роли администратора, выполните следующие действия.
В Центр администрирования Microsoft 365 перейдите в раздел Назначения ролей.
Выберите любую роль, чтобы открыть ее область сведений.
Перейдите на вкладку Разрешения , чтобы просмотреть подробный список действий администраторов, которым назначена эта роль.
Чтобы добавить пользователей в роли, выберите Назначенные или Назначенные администраторы.
Чтобы просмотреть полный список ролей, перейдите в нижнюю часть списка и выберите Показать все по категориям. Подробные сведения, включая командлеты, связанные с ролью, см. в разделе Microsoft Entra встроенных ролей.
Роли администратора и кто должен быть назначен
В следующей таблице перечислены роли администратора и сведения о том, кому следует назначать эти роли.
| Административная роль | Кому следует назначить эту роль? |
|---|---|
| Администратор ИИ | Назначьте роль администратора ИИ пользователям, которым необходимо выполнить следующие задачи: • Разрешить пользователям устанавливать приложение или установить приложение для пользователей в организации, если приложению не требуется разрешение • Чтение и настройка панелей мониторинга работоспособности служб Azure и Microsoft 365 • Просмотр отчетов об использовании, аналитических сведений об внедрении и организационных сведений • Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365 Примечание. Роль администратора ИИ в настоящее время ограничена. Для полных административных возможностей рекомендуется использовать роль глобального администратора, пока роль администратора ИИ не будет полностью функциональной. Мы постоянно расширяем поддержку дополнительных функций, чтобы повысить роль администратора ИИ. |
| Администратор выставления счетов | Назначьте роль администратора выставления счетов пользователям, которые делают покупки, управляют подписками и запросами на обслуживание, а также отслеживают работоспособности служб. Администраторы выставления счетов не могут назначать лицензии; Если администратор выставления счетов также является администратором лицензий или пользователей, перейдите на страницу Лицензии, чтобы назначить лицензии. Администраторы выставления счетов также могут: • Управление всеми аспектами выставления счетов • Создание запросов в службу поддержки и управление ими в портал Azure |
| Администратор Exchange | Назначьте роль администратора Exchange пользователям, которым необходимо просматривать почтовые ящики, Группы Microsoft 365 и Exchange Online пользователя и управлять ими. Администраторы Exchange также могут: • Восстановление удаленных элементов в почтовом ящике пользователя • Настройка делегатов "Отправить как" и "Отправить от имени" |
| Администратор структуры | Назначьте роль администратора Fabric пользователям, которым необходимо выполнить следующие задачи: • Управление всеми функциями администрирования в Microsoft Fabric и Power BI • Отчет об использовании и производительности • Проверка аудита и управление ими |
| Глобальный администратор | Глобальные администраторы могут: • Управление приобретением подписок и продуктов вашей организации • Сброс паролей для всех пользователей • Добавление доменов и управление ими • Разблокировка другого глобального администратора Пользователь, который приобрел подписку для организации и зарегистрировался в Microsoft веб-службы, автоматически становится глобальным администратором. Кроме того, только глобальные администраторы могут просматривать подписки, приобретенные через партнера, и управлять ими. |
| Глобальный читатель | Назначьте роль глобального читателя пользователям, которым необходимо просматривать функции и параметры администратора в центрах администрирования, которые может просматривать глобальный администратор. Глобальный читатель не может изменять параметры. Для подписок, приобретенных через партнера, роль глобального читателя недоступна. |
| Администратор подключения к данным Graph | Назначьте роль администратора Подключения к данным Graph пользователям, которым необходимо выполнить следующие задачи: • Доступ к полному набору административных возможностей Microsoft Graph Data Connect • Управление параметрами Microsoft Graph Data Connect в клиенте • Включение или отключение службы Microsoft Graph Data Connect • Настройка выбора рабочей нагрузки набора данных в Microsoft Graph Data Connect • Настройка параметров перемещения данных между клиентами в Microsoft Graph Data Connect • Просмотр, утверждение или отклонение запросов на авторизацию приложений для Microsoft Graph Data Connect • Просмотр, создание, обновление или удаление регистраций приложений для Microsoft Graph Data Connect |
| Администратор групп | Назначьте роль администратора групп пользователям, которым необходимо управлять всеми параметрами групп в центрах администрирования, включая центр администрирования Microsoft 365 и центр администрирования Microsoft Entra. Администраторы групп могут: • Создание, изменение, удаление и восстановление групп Microsoft 365 • Создание и обновление политик создания, истечения срока действия и именования групп • Создание, изменение, удаление и восстановление Microsoft Entra групп безопасности |
| Администратор службы поддержки | Назначьте роль администратора службы поддержки пользователям, которым требуется выполнять следующее: • Сброс паролей • Принудительное выход пользователей • Управление запросами на обслуживание • Мониторинг работоспособности служб Администратор службы технической поддержки может помочь только пользователям, которые не являются администраторами, и пользователям, которым назначены следующие роли: читатель каталогов, приглашающий гостей, администратор службы технической поддержки, читатель центра сообщений и читатель отчетов. |
| Администратор лицензий | Назначьте роль администратора лицензий пользователям, которым необходимо назначать и удалять лицензии пользователей и менять место их использования. Администраторы лицензий также могут: • Повторная обработка назначений лицензий для группового лицензирования • Назначение лицензий на продукты группам для группового лицензирования |
| Читатель раздела о конфиденциальности в Центре сообщений | Назначьте роль читателя раздела о конфиденциальности Центра сообщений пользователям, которым необходимо читать сообщения и обновления по вопросам конфиденциальности и безопасности в Центре сообщений Microsoft 365. Читатели конфиденциальности центра сообщений могут получать Уведомления по электронной почте, связанные с конфиденциальностью данных, в зависимости от своих предпочтений, и они могут отменить подписку с помощью настроек Центра сообщений. Только глобальные администраторы и читатели раздела о конфиденциальности Центра сообщений могут читать сообщения о конфиденциальности данных. Эта роль не имеет разрешения на просмотр, создание и управление запросами на обслуживание. Читатели раздела о конфиденциальности Центра сообщений могут также: • Мониторинг всех уведомлений в Центре сообщений, включая сообщения о конфиденциальности данных • Просмотр групп, доменов и подписок |
| Читатель Центра сообщений | Назначьте роль читателя центра сообщений пользователям, которым необходимо выполнить следующие задачи: • Мониторинг уведомлений центра сообщений • Получайте еженедельные дайджесты сообщений о сообщениях и обновлениях в центре сообщений • Предоставление общего доступа к сообщениям в центре сообщений • Доступ только для чтения к Microsoft Entra службам, таким как пользователи и группы. |
| Администратор миграции | Назначьте роль администратора миграции Microsoft 365 пользователям, которым необходимо выполнить следующие задачи: • Используйте диспетчер миграции в Центр администрирования Microsoft 365 для управления миграцией содержимого в Microsoft 365, включая Microsoft Teams, OneDrive и сайты SharePoint, из различных источников, таких как Google Диск, Dropbox и Box. • Выберите источники миграции, создайте инвентаризацию миграции (например, списки пользователей Google Диска), запланируйте и выполните миграцию, а также скачайте отчеты. • Создавайте новые сайты SharePoint, если конечные сайты еще не существуют, создавайте списки SharePoint на сайтах администрирования SharePoint, а также создавайте и обновляйте элементы в списках SharePoint. • Управление параметрами проекта миграции и жизненным циклом миграции для задач и управление сопоставлениями разрешений из источника в место назначения. С помощью этой роли вы можете выполнить миграцию только с Google Drive, Box, Dropbox и Egnyte. Эта роль не позволяет выполнять миграцию из общих папок из центра администрирования SharePoint. Используйте администратора SharePoint для миграции из источников файлового ресурса. |
| Администратор приложений Office | Назначьте роль администратора Приложений Office пользователям, которым необходимо выполнить следующие задачи: • Используйте службу "Облачная политика" для Microsoft 365 для создания облачных политик и управления ими. • Создание запросов на обслуживание и управление ими • Управление новым содержимым, которое пользователи видят в своих приложениях в Microsoft 365 • Мониторинг работоспособности служб • Управление параметрами сценариев Office |
| Автор корпоративных сообщений | Назначьте роль "Модуль сообщений организации" пользователям, которым необходимо писать, публиковать, администрировать и просматривать сообщения организации для конечных пользователей с помощью поверхностей продуктов Майкрософт. |
| Утверждающий сообщения организации | Назначьте роль утверждающего сообщений организации пользователям, которым необходимо проверить, утвердить или отклонить новые сообщения организации для доставки в Центр администрирования Microsoft 365, прежде чем они будут отправлены пользователям через области продуктов Майкрософт. |
| Администратор паролей | Назначьте роль администратора паролей пользователю, которому необходимо сбросить пароли для пользователей, которые не являются администраторами и администраторами паролей. |
| администратор Люди | Назначьте роль администратора Люди пользователям, которым необходимо выполнить следующие задачи: • Обновление фотографий профиля для всех пользователей, включая администраторов • Обновление параметров пользователей для всех пользователей (местоимения, произношение имен и параметры профиля карта). |
| Администратор Power Platform | Назначьте роль администратора Power Platform пользователям, которым необходимо выполнить следующие задачи: • Управление всеми функциями администрирования для Power Apps, Power Automate, Power BI, Microsoft Fabric и Защита от потери данных Microsoft Purview • Создание запросов на обслуживание и управление ими • Мониторинг работоспособности служб |
| Читатель отчетов | Назначьте роль читателя отчетов пользователям, которым необходимо выполнить следующие задачи: • Просмотр данных об использовании и отчетов о действиях в Центр администрирования Microsoft 365 • Получите доступ к пакету содержимого для внедрения Power BI. • Получите доступ к отчетам о входе и действиям в Microsoft Entra ID • Просмотр данных, возвращаемых API отчетов Microsoft Graph |
| Администратор поиска | Назначьте роль администратора поиска пользователям, которым необходимо создавать содержимое результатов поиска и управлять ими, а также определять параметры запроса для улучшения результатов поиска в организации. Администратор поиска управляет конфигурацией поиска Майкрософт и может выполнять все задачи по управлению содержимым, которые может выполнять редактор поиска. |
| Администратор поддержки служб | Назначьте роль администратора службы поддержки в качестве другой роли администраторам или пользователям, которым необходимо выполнять следующие задачи в дополнение к обычной роли администратора: • Открытие запросов на обслуживание и управление ими • Просмотр и предоставление общего доступа к сообщениям в центре сообщений • Мониторинг работоспособности служб |
| Администратор SharePoint | Назначьте роль администратора SharePoint пользователям, которым требуется доступ к Центру администрирования SharePoint и управление им. Администраторы SharePoint также могут: • Создание и удаление сайтов • Управление семействами веб-сайтов и глобальными параметрами SharePoint |
| Администратор Teams | Назначьте роль администратора Teams пользователям, которым требуется доступ к Центру администрирования Teams и управление им. Администратор Teams также может: • Управление собраниями • Управление мостами конференций • Управление всеми параметрами всей организации, включая федерацию, обновление teams и параметры клиента Teams |
| Администратор пользователей | Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие задачи для всех пользователей: • Добавление пользователей и групп • Назначение лицензий • Управление свойствами большинства пользователей • Создание пользовательских представлений и управление ими • Обновление политик истечения срока действия паролей • Управление запросами на обслуживание • Мониторинг работоспособности служб Администратор пользователей также может выполнять следующие действия для пользователей, которые не являются администраторами, и для пользователей, которым назначены следующие роли: читатель каталогов, приглашенный гость, администратор службы технической поддержки, читатель центра сообщений, читатель отчетов: • Управление именами пользователей • Удаление и восстановление пользователей • Сброс паролей • Принудительное выход пользователей • Обновление ключей устройства (FIDO) |
| Диспетчер успешных операций с пользовательским интерфейсом | Назначьте роль диспетчера успешности взаимодействия с пользователями, которым требуется доступ к Аналитике опыта, оценке внедрения и Центру сообщений в Центр администрирования Microsoft 365. Эта роль включает разрешения для роли читателя сводных отчетов об использовании. |
| Администратор службы Viva Glint | Назначьте роль администратора службы Viva Glint пользователям, которые управляют приложением Viva Glint. См . раздел Назначение администраторов клиентов и служб Viva Glint. |
Также см . раздел Проверка ролей администратора в организации.
Разрешения на основе ролей администратора и типа группы в Центр администрирования Microsoft 365
| Роль администратора | Группы Microsoft 365 | Группы безопасности | Динамические группы рассылки | Группы безопасности с поддержкой почты |
|---|---|---|---|---|
| Глобальный администратор | Создание, чтение, обновление, удаление | Создание, чтение, обновление, удаление | Создание, чтение, обновление, удаление | Создание, чтение, обновление, удаление |
| Глобальный читатель | Чтение | Чтение | Чтение | Чтение |
| Администратор пользователей | Create, Read, Update, Delete, Can't update EXO properties | Создание, чтение, обновление, удаление | Чтение | Чтение |
| Администратор Exchange | Создание, чтение, обновление, удаление | Чтение, обновление — только группы, которые они владеют, Delete — только группы, владеемые им | Создание, чтение, обновление, удаление | Создание, чтение, обновление, удаление |
| Администратор Teams | Create, Read, Update, Delete, Can't update EXO properties | Создание, чтение, обновление, удаление — только группы, принадлежащие им | Чтение | Чтение |
| Администратор SharePoint | Create, Read, Update, Delete, Can't update EXO properties | Создание, чтение, обновление и удаление групп, которые они владеют | Чтение | Чтение |
| Администратор выставления счетов | Чтение | Чтение | Чтение | Чтение |
| Администратор служб | Чтение | Чтение | Чтение | Чтение |
| Администратор группы | Create, Read, Update, Delete, Can't update EXO properties | Создание, чтение, обновление, удаление | Чтение | Чтение |
| Администратор ИИ | Чтение | Чтение | Чтение | Чтение |
Делегированное администрирование для партнеров Майкрософт
Если вы работаете с партнерами Майкрософт, им можно назначать роли администратора. Они, в свою очередь, могут назначать роли администраторов пользователям в вашей или в своей организации. Вы можете назначить роли администратора партнерам, если они настраивают и управляют вашей интернет-организацией за вас.
Роли, которые может назначить партнер:
- Администратор привилегии агента, эквивалентные глобальному администратору, за исключением управления многофакторной проверкой подлинности через Центр партнеров.
- Агент службы технической поддержки. Привилегии, эквивалентные правам администратора службы поддержки.
Чтобы партнер мог назначать эти роли пользователям, его требуется добавить в свою учетную запись в качестве делегированного администратора. Партнер должен быть полномочным партнером. отправив вам сообщение с просьбой предоставить ему полномочия делегированного администратора. Инструкции см. в статье Авторизация и удаление взаимоотношений с партнерами.
Роли корпоративного лицензирования
Администраторы соглашения корпоративного лицензирования (VL) получают доступ к корпоративным лицензиям в Центр администрирования Microsoft 365.
- Администраторы VL не имеют разрешений на доступ к другим сведениям или функциям Центра администрирования за пределами раздела VL.
- Глобальные администраторы не назначают роли VL и не нужно назначать роль администратора администратору VL, чтобы они могли получить доступ к соглашению VL.
- Глобальные администраторы не имеют доступа к сведениям или функциям VL в Центре администрирования, если администратор VL не назначил им роль VL.
Дополнительные сведения см. в статье Управление ролями пользователей корпоративного лицензирования или обратитесь в службу поддержки корпоративного лицензирования.
Связанные материалы
Назначение ролей администратора
Проверка ролей администратора в организации
Сброс паролей в Microsoft 365 для бизнеса
Получение поддержки Microsoft 365 для бизнеса
Microsoft Entra роли в Центр администрирования Microsoft 365
Отчеты об активности в Центре администрирования Microsoft 365