Om administratörsroller i administrationscentret för Microsoft 365

Kolla in Microsoft 365 hjälp för småföretag på YouTube.

Microsoft 365- eller Office 365-prenumeration innehåller en uppsättning administratörsroller som du kan tilldela användare i din organisation med Administrationscenter för Microsoft 365. Varje administratörsroll mappar till vanliga affärsfunktioner och ger personerna i din organisation behörighet att utföra särskilda uppgifter i administrationscentret.

I Administrationscenter för Microsoft 365 kan du hantera Azure AD-roller och Microsoft Intune-roller. Dessa roller är dock en deluppsättning av rollerna som finns tillgängliga i Azure Active Directory-portalen och administrationscentret för Intune.

Tips

Om du behöver hjälp med stegen i det här avsnittet kan du överväga jobba med en Microsoft småföretagsspecialist. Med Business Assist får du och dina anställda tillgång dygnet runt till småföretagsspecialister när du utökar din verksamhet, från registrering till daglig användning.

Titta: Vad är en administratör?

Kolla in den här videon och andra på vår YouTube-kanal.

  1. Om du är inloggad i Microsoft 365 väljer du startikonen för appen. Om ser knappen Administratör så är du administratör.
  2. Välj Admin för att gå till administrationscentret för Microsoft 365.
  3. Välj Användare>Aktiva användare i det vänstra navigeringsfönstret.
  4. Välj den person som du vill göra till administratör. Användarens information visas i den högra dialogrutan.

Innan du börjar

Vill du ha en komplett lista över detaljerade Azure AD-rollbeskrivningar som du kan hantera i Administrationscenter för Microsoft 365? Ta en titt på Administratörens rollbehörigheter i Azure Active Directory. inbyggda Roller i Azure AD.

Vill du ha en komplett lista över detaljerade Intune-rollbeskrivningar som du kan hantera i Administrationscenter för Microsoft 365? Ta en titt på Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.

Mer information om hur du tilldelar roller i Administrationscenter för Microsoft 365 finns i Tilldela administratörsroller.

Säkerhetsriktinjer för tilldelning av roller

Eftersom administratörer har tillgång till känsliga data och filer rekommenderar vi att du följer dessa riktlinjer för att skydda organisationens data.

Rekommendation Varför är det viktigt?
Ha 2 till 4 globala administratörer Globala administratörer har nästan obegränsad åtkomst till organisationens inställningar och de flesta av dess data. Vi rekommenderar att du begränsar antalet globala administratörer så mycket som möjligt. En global Admin kan oavsiktligt låsa sitt konto och kräva en lösenordsåterställning. Antingen en annan global Admin eller en privilegierad autentisering Admin kan återställa lösenordet för en global Admin. Därför rekommenderar vi att du har minst en global Admin eller en privileged authentication-Admin om en global Admin låser sitt konto.
Tilldela begränsade roller Genom att tilldela begränsade roller får administratörerna bara den behörighet som behövs för att få jobbet gjort. Om du till exempel vill att någon ska återställa anställdas lösenord bör du inte tilldela den obegränsade globala administratörsrollen, så bör du tilldela en begränsad administratörsroll, till exempel lösenordsadministratör eller supportadministratör. Detta hjälper dig att skydda dina data.
Konfigurera multifaktorautentisering för administratörer Det är en bra idé att kräva MFA för alla användare, men administratörer i synnerhet bör använda MFA för att logga in. MFA gör att användarna måste använda ytterligare en identifieringsmetod för att verifiera sin identitet. Administratörer kan ha tillgång till stora mängder kund- och personaldata och om du använder MFA är själva lösenordet oanvändbart utan en andra verifiering i händelse av att administratörslösenordet äventyras.

När du aktiverar MFA måste användaren ange en alternativ e-postadress och ett telefonnummer för kontoåterställning nästa gång användaren loggar in.
Konfigurera multifaktorautentisering

Om du får ett meddelande i administrationscentret om att du inte har behörighet att redigera inställningar eller sidor beror det på att du har tilldelats en roll som inte har den behörigheten.

Vanliga roller för administrationscenter för Microsoft 365

I Administrationscentret för Microsoft 365 går du till Rolltilldelningar och väljer sedan en roll för att öppna informationsfönstret. Välj fliken Behörigheter om du vill visa en detaljerad lista över vilka behörigheter som administratörer som tilldelats rollen har. Välj fliken Tilldelad eller Tilldelade administratörer om du vill lägga till användare i roller.

Du behöver antagligen bara tilldela följande roller i organisationen. Som standard visar vi först de roller som de flesta organisationer använder. Om du inte hittar någon roll går du till slutet av listan och väljer Visa alla efter kategori. (Detaljerad information, inklusive de cmdletar som är associerade med en roll, finns i inbyggda Roller i Azure AD.)

Administratörsroll Vem ska ha tilldelas denna roll?
Faktureringsadministratör Tilldela rollen faktureringsadministratör till användare som gör inköp, hanterar prenumerationer och tjänsteförfrågningar och övervakar tjänststatus.

Faktureringsadministratörer kan även:
– Hantera alla aspekter av fakturering
– Skapa och hantera supportärenden i Azure Portal
Exchange-administratör Tilldela rollen som Exchange-administratör till användare som behöver visa och hantera postlådor, Microsoft 365-grupper och Exchange Online som tillhör din användare.

Exchange-administratörer kan även:
– Återskapa borttagna objekt i en användares postlåda
– Konfigurera ombud av typerna "Skicka som" och "Skicka för"
Global administratör Tilldela rollen som global administratör till användare som behöver global åtkomst till de flesta hanteringsfunktioner och data i Microsoft Online Services.

Att ge för många användare global åtkomst är en säkerhetsrisk och vi rekommenderar att du har mellan två och fyra globala administratörer.

Det är bara globala administratörer som kan:
– Återställa lösenord för alla användare
– Lägga till och hantera domäner
- Ta bort blockeringen från en annan global administratör

Observera: Den person som registrerade sig för Microsoft onlinetjänster blir automatiskt global administratör.
Global läsare Tilldela rollen global läsare till användare som behöver visa administratörsfunktioner och -inställningar i administrationscenter som den globala administratören kan visa. Den globala läsaradministratören kan inte redigera några inställningar.
Grupper-administratör Tilldelar gruppadministratörsrollen till användare som behöver hantera alla gruppinställningar i olika administrationscenter, inklusive administrationscentret för Microsoft 365 och Azure Active Directory-portalen.

Grupper-administratörer kan:
– Skapa, redigera, ta bort och återställa Microsoft 365-grupper
– Skapa och uppdatera skapande, upphörande och namngivningsprinciper för grupper
– Skapa, redigera, ta bort och återställa Azure Active Directory-säkerhetsgrupper
Supportadministratör Tilldela rollen som supportadministratör till användare som behöver göra följande:
– Återställa lösenord
– Tvinga att användare loggar ut
– Hantera tjänsteförfrågningar
– Övervaka tjänstens status

Obs! Supportadministratören kan bara hjälpa användare som inte är administratörer och användare som tilldelats följande roller: katalogläsare, gästinbjudare, supportadministratör, meddelandecenter-administratör och rapportläsare.
Licensadministratör Tilldela rollen licensadministratör till användare som behöver tilldela och ta bort licenser från användare och redigera deras användningsplats.

Licensadministratörer kan även:
– Omarbeta licensuppdrag för gruppbaserad licensiering
– Tilldela produktlicenser till grupper för gruppbaserad licensiering
Sekretessläsare i meddelandecenter Tilldela rollen sekretessläsare i Meddelandecenter till användare som behöver läsa sekretess- och säkerhetsmeddelanden och uppdateringar i Microsoft 365 Meddelandecenter. Sekretessläsare i Meddelandecenter kan få e-postaviseringar om datasekretess, beroende på deras inställningar, och de kan avbryta prenumerationen med hjälp av inställningarna i Meddelandecenter. Endast globala administratörer och sekretessläsare i Meddelandecenter kan läsa datasekretessmeddelanden. Den här rollen har inte behörighet att visa, skapa eller hantera tjänstbegäranden.

Sekretessläsare i Meddelandecenter kan också:
– Övervaka alla meddelanden i Meddelandecenter, inklusive datasekretessmeddelanden
– Visa grupper, domäner och prenumerationer
Läsare i Meddelandecenter Tilldela läsarrollen i Meddelandecenter till användare som behöver göra följande:
– Övervaka meddelanden i meddelandecentret
– Få veckovisa e-postmeddelanden med inlägg och uppdateringar i meddelandecentret
– Dela inlägg i Meddelandecenter
– Ha skrivskyddad åtkomst till Azure AD-tjänster, till exempel användare och grupper
Administratör för Office-program Tilldela rollen som administratör för Office-program till användare som behöver göra följande:
– Använd Cloud Policy-tjänsten för Microsoft 365 för att skapa och hantera molnbaserade principer för Office
– Skapa och hantera tjänsteförfrågningar
– Hantera nyhetsinnehållet som användarna ser i sina Office-program
– Övervaka tjänstens status
Organisationsmeddelandeskrivare Tilldela rollen Organisationsmeddelandeskrivare till användare som behöver skriva, publicera, hantera och granska organisationsmeddelanden för slutanvändare via Microsofts produktytor.
Lösenordsadministratör Tilldela rollen lösenordsadministratör till en användare som behöver återställa lösenord för icke-administratörer och lösenordsadministratörer.
Administratör för Power Platform Tilldela Power Platform administratörsrollen till användare som behöver göra följande:
– Hantera alla administrativa funktioner för PowerApps, Power Automate och Microsoft Purview dataförlustskydd
– Skapa och hantera tjänsteförfrågningar
– Övervaka tjänstens status
Rapportläsare Tilldela rollen som rapportläsare till användare som behöver göra följande:
– Visa användningsdata och aktivitetsrapporterna i administrationscentret för Microsoft 365
– Få tillgång till innehållspaketet för införande av Power BI
– Få åtkomst till inloggningsrapporter och -aktivitet i Azure AD
– Visa data som returneras av rapporterings-API i Microsoft Graph
Supportadministratör för tjänst Tilldela rollen Tjänstsupportadministratör som en extra-roll för administratörer eller användare som behöver göra följande utöver deras vanliga administratörsroll:
– Öppna och hantera tjänsteförfrågningar
– Visa och dela inlägg från meddelandecenter
– Övervaka tjänstens status
SharePoint-administratör Tilldela SharePoint-administratörsrollen till användare som behöver åtkomst till och behöver hantera administrationscentret för SharePoint Online.

SharePoint-administratörer kan även:
– Skapa och ta bort webbplatser
– Hantera webbplatssamlingar och globala SharePoint-inställningar
Teams-administratör Tilldela Teams-administratörsrollen till användare som behöver komma åt och hantera administrationscentret för Teams.

Teams-administratören kan också:
– Hantera möten
– Hantera konferensbryggor
– Hantera alla organisationsomfattande inställningar, inklusive inställningar för federation, team-uppgradering och team-klienter
Användaradministratör Tilldela rollen som användaradministratör till användare som behöver göra följande för alla användare:
– Lägga till användare och grupper
– Tilldela licenser
– Hantera de flesta användaregenskaper
– Skapa och hantera användarvyer
– Uppdatera giltighetsprinciper för lösenord
– Hantera tjänsteförfrågningar
– Övervaka tjänstens status

Användaradministratören kan också utföra följande åtgärder för användare som inte är administratörer och för användare som har tilldelats följande roller: katalogläsare, gästinbjudare, supportadministratör, meddelandecenter-administratör, rapportläsare:
– Hantera användarnamn
– Ta bort och återställa användare
– Återställa lösenord
– Tvinga att användare loggar ut
– Uppdatera enhetsnycklar (FIDO)
Success Manager för användarupplevelse Tilldela rollen Lyckad användarupplevelse till användare som behöver åtkomst till Experience Insights, Adoption Score och Meddelandecenter i Administrationscenter för Microsoft 365. Den här rollen innehåller behörigheterna för rollen Läsare för användningssammanfattningsrapporter.

Behörigheter baserat på Admin roll och grupptyp på sidan M365 Admin

Admin roll M365-grupper Säkerhetsgrupper Distributionsgrupper E-postaktiverade säkerhetsgrupper
Global administratör Skapa, läsa, uppdatera, ta bort Skapa, läsa, uppdatera, ta bort Skapa, läsa, uppdatera, ta bort Skapa, läsa, uppdatera, ta bort
Global läsare Läsa Läsa Läsa Läsa
Användaradministratör Skapa, läsa, uppdatera, ta bort, det går inte att uppdatera EXO-egenskaper Skapa, läsa, uppdatera, ta bort Läsa Läsa
Exchange-administratör Skapa, läsa, uppdatera, ta bort Skapa, läsa, uppdatera, ta bort – endast grupper som de äger Skapa, läsa, uppdatera, ta bort Skapa, läsa, uppdatera, ta bort
Teams-administratör Skapa, läsa, uppdatera, ta bort, det går inte att uppdatera EXO-egenskaper Skapa, läsa, uppdatera, ta bort – endast grupper som de äger Läsa Läsa
SharePoint-administratör Skapa, läsa, uppdatera, ta bort, det går inte att uppdatera EXO-egenskaper Skapa, läsa, uppdatera, ta bort – endast grupper som de äger Läsa Läsa
Faktureringsadministratör Läsa Läsa Läsa Läsa
Skype-administratör Läsa Läsa Läsa Läsa
Tjänstadministratör Läsa Läsa Läsa Läsa
Gruppadministratör Skapa, läsa, uppdatera, ta bort, det går inte att uppdatera EXO-egenskaper Skapa, läsa, uppdatera, ta bort Läsa Läsa

Delegerad administration för Microsoft-partners

Om du arbetar med en Microsoft-partner kan du tilldela dem administratörsroller. De kan i sin tur tilldela användare i ditt företag, eller i sitt företag, administratörsroller. Det kanske du vill göra om de till exempel konfigurerar och hanterar din onlineorganisation åt dig.

Ett partnerföretag kan tilldela följande roller:

  • Administratöragent Behörigheter som en global administratör, förutom behörighet att hantera flerfaktorautentisering via partnercenter.

  • Supportagent Behörigheter som en supportadministratör.

För att partnerföretaget ska kunna tilldela de här rollerna till användare måste du lägga till partnern som delegerad administratör i kontot. Initiativet till en sådan här process tas av en auktoriserad partner. Partnern skickar ett e-postmeddelande till dig med frågan om du vill ge dem behörighet att fungera som delegerad administratör. Anvisningar finns i Auktorisera eller ta bort partnerrelationer.

Tilldela administratörsroller (artikel)
Azure AD-roller i administrationscentret för Microsoft 365 (artikel)
Aktivitetsrapporter i administrationscentret för Microsoft 365 (artikel)
Administratörsrollen i Exchange Online (artikel)