Сведения о ролях администраторов в Центре администрирования Microsoft 365

Ознакомьтесь со справкой по Microsoft 365 для малого бизнеса на YouTube.

Подписка на Microsoft 365 или Office 365 поставляется с набором ролей администратора, которые можно назначить пользователям в организации с помощью Центр администрирования Microsoft 365. Каждой роли администратора соответствуют распространенные бизнес-функции, и она предоставляет пользователям организации разрешения на выполнение определенных задач в Центрах администрирования.

Центр администрирования Microsoft 365 позволяет управлять ролями Azure AD и Microsoft Intune. Но эти роли являются подмножеством ролей, доступных на портале Azure AD и в центре администрирования Intune.

Совет

Если вам нужна помощь с действиями в этом разделе, рассмотрите возможность взаимодействия со специалистом Майкрософт по малому бизнесу. С помощью бизнес-помощника вы и ваши сотрудники получаете круглосуточный доступ к знаниям специалистов по малому бизнесу по мере развития вашего предприятия: от начальных этапов до повседневной работы.

Видео. Кто такой администратор?

Ознакомьтесь с этим и другими видео на нашем YouTube-канале.

  1. Выполнив вход в Microsoft 365, выберите средство запуска приложений. Если отображается кнопка "Администрирование", вы являетесь администратором.
  2. Нажмите Администрирование, чтобы перейти в Центр администрирования Microsoft 365.
  3. В области навигации слева выберите Пользователи>Активные пользователи.
  4. Выберите пользователя, которого нужно сделать администратором. Сведения о пользователе отображаются в диалоговом окне справа.

Прежде чем начать

Ищете полный список ролей Azure AD, которыми можно управлять в Центре администрирования Microsoft 365, с подробным описанием? См. статью "Разрешения роли администратора в Azure Active Directory". Встроенные роли Azure AD.

Ищете полный список ролей Intune, которыми можно управлять в Центре администрирования Microsoft 365, с подробным описанием? См. статью Управление доступом на основе ролей (RBAC) в Microsoft Intune.

Подробнее о назначении ролей в Центре администрирования Microsoft 365 см. в статье Назначение ролей администратора.

Рекомендации по обеспечению безопасности при назначении ролей

Так как администраторы имеют доступ к конфиденциальным данным и файлам, рекомендуется следовать этим руководствам, чтобы обеспечить надежную защиту данных организации.

Рекомендация Почему это так важно?
От 2 до 4 глобальных администраторов Глобальные администраторы имеют практически неограниченный доступ к параметрам вашей организации и большинству ее данных. Мы рекомендуем максимально ограничить число глобальных администраторов. Глобальная Администратор может случайно заблокировать свою учетную запись и потребовать сброса пароля. Другой глобальный Администратор или Администратор привилегированной проверки подлинности может сбросить пароль глобальной Администратор. Поэтому рекомендуется иметь по крайней мере еще одну глобальную Администратор или Администратор привилегированной проверки подлинности, если глобальная Администратор заблокирует свою учетную запись.
Назначайте роль с минимальными разрешениями Назначение роли с минимальными разрешениями означает предоставление администраторам доступа только к требуемым элементам для выполнения задачи. Например, если вы хотите, чтобы кто-то сбросил пароли сотрудников, не следует назначать неограниченную роль глобального администратора, следует назначить ограниченную роль администратора, например администратор паролей или администратор службы поддержки. Это поможет защитить данные.
Обязательная многофакторная проверка подлинности для администраторов На самом деле, рекомендуется применять многофакторную проверку подлинности (MFA) для всех пользователей, но для администраторов следует обязательно требовать MFA при входе. MFA заставляет пользователей применять второй метод идентификации, чтобы подтвердить их личность. Администраторы могут иметь доступ к большому объему данных клиентов и сотрудников, и если вы используете обязательную MFA, в случае компрометации пароля администратора, этот пароль будет бесполезен без второй формы идентификации.

Когда вы включаете MFA, при следующем входе пользователя ему потребуется указать другой адрес электронной почты и номер телефона на случай восстановления учетной записи.
Настройка многофакторной проверки подлинности

Если вы получили сообщение в Центре администрирования о том, что у вас нет разрешений на изменение параметра или страницы, это значит, что вам назначена роль без такого разрешения.

Часто используемые роли Центра администрирования Microsoft 365

В Центре администрирования Microsoft 365 можно перейти в раздел Назначение ролей и выбрать любую роль, чтобы открыть ее область сведений. Перейдите на вкладку Разрешения, чтобы просмотреть подробный список разрешений, которые дает эта роль администратора. Чтобы добавить пользователей в роли, выберите Назначенные или Назначенные администраторы.

Скорее всего, вам потребуется назначить только следующие роли в организации. По умолчанию сначала отображаются роли, используемые в большинстве организаций. Если не удается найти нужную роль, перейдите в нижнюю часть списка и выберите Показать все по категориям. (Подробные сведения, включая командлеты, связанные с ролью, см. статье Встроенные роли Azure AD.)

Роль администратора Кому следует назначить эту роль?
Администратор выставления счетов Назначьте роль администратора выставления счетов пользователям, которые делают покупки, управляют подписками и запросами на обслуживание, а также отслеживают работоспособность служб.

Администраторы выставления счетов также могут:
— управлять всеми аспектами вы выставления счетов;
— создавать заявки не поддержку на портале Azure и управлять ими.
Администратор Exchange Назначьте роль администратора Exchange пользователям, которым требуется просматривать почтовые ящики электронной почты пользователя, групп Microsoft 365 и Exchange Online, а также управлять ими.

Администраторы Exchange также могут:
— восстанавливать удаленные элементы в почтовом ящике пользователя;
— настраивать делегатов с разрешениями "Отправить как" и "Отправить от имени".
Глобальный администратор Назначьте роль глобального администратора пользователям, которым необходим глобальный доступ к большинству функций управления и данных в веб-службах Майкрософт.

Предоставление глобального доступа слишком большому количеству пользователей представляет угрозу безопасности, поэтому рекомендуем назначить от 2 до 4 глобальных администраторов.

Только глобальные администраторы могут:
– сбрасывать пароли всех пользователей;
– добавлять домены и управлять ими;
– разблокировать других глобальных администраторов.

Примечание: Пользователь, зарегистрировавшийся в Microsoft веб-службы, автоматически становится глобальным администратором.
Глобальный читатель Назначьте роль глобального читателя пользователям, которым необходимо просматривать функции и параметры администрирования в центрах администрирования, доступных для просмотра глобальному администратору. Администратор с ролью глобального читателя не может изменять никакие параметры.
Администратор групп Назначьте роль администратора группы пользователям, которым требуется управлять всеми параметрами групп в центрах администрирования, включая Центр администрирования Microsoft 365 и портал Azure Active Directory.

Администраторы групп могут:
— создавать, изменять, удалять и восстанавливать группы Microsoft 365;
— создавать и обновлять политики создания, срока действия и именования групп;
— создавать, изменять, удалять и восстанавливать группы безопасности Azure Active Directory.
Администратор службы поддержки Назначьте роль администратора службы поддержки пользователям, которым требуется выполнять следующее:
— сбрасывать пароли;
— принуждать пользователей выходить из системы;
— управлять запросами на обслуживание;
— отслеживать работоспособность служб.

Примечание. Администратор службы поддержки может помогать только пользователям, не являющимся администраторами, и пользователям со следующими ролями: читатель каталога, приглашающий гостей, администратор службы поддержки, читатель Центра сообщений и читатель отчетов.
Администратор лицензий Назначьте роль администратора лицензий пользователям, которым необходимо назначать и удалять лицензии пользователей и менять место их использования.

Администраторы лицензий также могут:
— повторно обрабатывать назначения лицензий при групповом лицензировании;
— назначать лицензии на продукты группам при групповом лицензировании;
Читатель раздела о конфиденциальности в Центре сообщений Назначьте роль читателя раздела о конфиденциальности Центра сообщений пользователям, которым необходимо читать сообщения и обновления по вопросам конфиденциальности и безопасности в Центре сообщений Microsoft 365. Читатели раздела о конфиденциальности Центра сообщений могут получать уведомления по электронной почте, связанные с конфиденциальностью данных, в зависимости от их предпочтений, и они могут отказаться от подписки, используя настройки Центра сообщений. Только глобальные администраторы и читатели раздела о конфиденциальности Центра сообщений могут читать сообщения о конфиденциальности данных. Эта роль не имеет разрешения на просмотр, создание и управление запросами на обслуживание.

Читатели раздела о конфиденциальности Центра сообщений могут также:
— Отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных
— Просматривать группы, домены и подписки
Читатель Центра сообщений Назначьте роль читателя Центра сообщений пользователям, которым требуется выполнять следующее:
— отслеживать уведомления центра сообщений;
— получать еженедельные дайджесты по электронной почте для публикаций и обновлений в Центре сообщений;
— отправлять записи в Центре сообщений;
— иметь доступ только для чтения к службам Azure AD, таким как пользователи и группы.
Администратор приложений Office Назначьте роль администратора приложений Office пользователям, которым требуется выполнять следующее:
— Использование службы "Облачная политика" для Microsoft 365 для создания облачных политик office и управления ими
— создавать запросы на обслуживание и управлять ими;
- Управляйте контентом «Что нового», который пользователи видят в своих приложениях Office
— отслеживать работоспособность служб.
Модуль записи сообщений организации Назначьте роль "Модуль сообщений организации" пользователям, которым необходимо писать, публиковать, администрировать и просматривать сообщения организации для конечных пользователей с помощью поверхностей продуктов Майкрософт.
Администратор паролей Назначьте роль администратора паролей пользователю, которому необходимо сбрасывать пароли для пользователей, которые не являются администраторами.
Администратор Power Platform Назначьте роль администратора Power Platform пользователям, которым требуется выполнять следующее:
— управлять всеми функциями администрирования для Power Apps, Power Automate и защиты от потери данных Microsoft Purview;
— создавать запросы на обслуживание и управлять ими;
— отслеживать работоспособность служб.
Читатель отчетов Назначьте роль читателя отчетов пользователям, которым требуется выполнять следующее:
— просматривать данные об использовании и отчеты об активности Teams в Центре администрирования Microsoft 365;
— получать доступ к пакету содержимого для внедрения Power BI;
— получать доступ к отчетам о входе и активности в Azure AD;
— просматривать данные, возвращаемые программным интерфейсом отчетов Microsoft Graph.
Администратор поддержки служб Назначьте роль администратора поддержки служб как дополнительную роль администраторам или пользователям, которым необходимо выполнять следующие действия в дополнение к своей обычной роли администратора:
— открывать запросы на обслуживание и управлять ими;
— просматривать публикации в Центре сообщений и делиться ими.
— отслеживать работоспособность служб.
Администратор SharePoint Назначьте роль администратора SharePoint пользователям, которым требуется доступ к Центру администрирования SharePoint Online и управление им.

Администраторы SharePoint также могут:
— создавать и удалять сайты;
— управлять семействами веб-сайтов и глобальными параметрами SharePoint.
Администратор Teams Назначьте роль администратора Teams пользователям, которым требуется доступ к Центру администрирования Teams и управление им.

Администратор Teams также может:
— управлять собраниями;
— управлять мостами конференций;
— управлять параметрами на уровне организации, включая федерацию, переход на Teams и параметры клиентов Teams.
Администратор пользователей Назначьте роль администратора пользователей тем пользователям, которые должны выполнять следующее для всех пользователей:
— добавлять пользователей и группы;
— назначать лицензии;
— управлять большинством свойств пользователей;
— создавать пользовательские представления и управлять ими;
— обновлять политики срока действия паролей;
— управлять запросами на обслуживание;
— отслеживать работоспособность служб.

Администратор пользователей также может выполнять указанные ниже действия для пользователей, не являющихся администраторами, и пользователей со следующими ролями: читатель каталога, приглашающий гостей, администратор службы поддержки, читатель Центра сообщений и читатель отчетов:
— управлять именами пользователей;
— удалять и восстанавливать пользователей;
— сбрасывать пароли;
— принуждать пользователей выходить из системы;
— обновлять ключи устройств (FIDO).
Диспетчер успешности взаимодействия с пользователем Назначьте роль диспетчера успешности взаимодействия с пользователями, которым требуется доступ к Аналитике опыта, оценке внедрения и Центру сообщений в Центр администрирования Microsoft 365. Эта роль включает разрешения для роли читателя сводных отчетов об использовании.

Разрешения на основе роли Администратор и типа группы на странице Администратор M365

роль Администратор Группы M365 Группы безопасности Динамические группы рассылки Группы безопасности с поддержкой почты
Глобальный администратор Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Глобальный читатель Чтение Чтение Чтение Чтение
Администратор пользователей Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление Чтение Чтение
Администратор Exchange Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление — только группы, принадлежащие им Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Администратор Teams Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление — только группы, принадлежащие им Чтение Чтение
Администратор SharePoint Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление и удаление групп, которые они владеют Чтение Чтение
Администратор выставления счетов Чтение Чтение Чтение Чтение
Администратор Skype Чтение Чтение Чтение Чтение
Администратор служб Чтение Чтение Чтение Чтение
Администратор группы Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление Чтение Чтение

Делегированное администрирование для партнеров Майкрософт

Если вы работаете с партнерами Майкрософт, им можно назначать роли администратора. Они, в свою очередь, могут назначать роли администраторов пользователям в вашей или в своей организации. Вы можете захотеть, чтобы они сделали это, например, если они настраивают и управляют вашей интернет-организацией за вас.

Роли, которые может назначить партнер:

  • Агент по администрированию. Привилегии, эквивалентные правам глобального администратора, за исключением управления многофакторной проверкой подлинности через Центр партнеров.

  • Агент службы технической поддержки. Привилегии, эквивалентные правам администратора службы поддержки.

Чтобы партнер мог назначать эти роли пользователям, его требуется добавить в свою учетную запись в качестве делегированного администратора. Этот процесс начинает авторизованный партнер, отправив вам сообщение с просьбой предоставить ему полномочия делегированного администратора. Инструкции см. в статье Авторизация и удаление взаимоотношений с партнерами.

Назначение ролей администратора (статья)
Роли Azure AD в Центре администрирования Microsoft 365 (статья)
Отчеты об активности в Центре администрирования Microsoft 365 (статья)
Роль администратора Exchange Online (статья)