Les rôles d'administration dans le Centre d’administration Microsoft 365

Consultez l’aide de Microsoft 365 petite entreprise sur YouTube.

L’abonnement Microsoft 365 ou Office 365 est fourni avec un ensemble de rôles d’administrateur que vous pouvez attribuer aux utilisateurs de votre organization à l’aide de la Centre d’administration Microsoft 365. Chaque rôle d’administrateur correspond à des fonctions d’entreprise courantes et donne aux personnes concernées dans votre organisation des autorisations pour effectuer des tâches spécifiques dans les centres d’administration.

Conseil

Si vous avez besoin d’aide pour suivre les étapes de cette rubrique, envisagez de collaborer avec un spécialiste des petites entreprises Microsoft. Avec Aide aux entreprises, vos employés et vous avez accès 24 heures sur 24 aux spécialistes des petites entreprises à mesure que vous développez votre entreprise, de l’intégration à l’utilisation quotidienne.

Regardez : qu’est-ce qu’un administrateur ?

Regardez cette vidéo et d’autres encore sont disponibles sur notre chaîne YouTube.

  1. Lorsque vous êtes connecté à Microsoft 365, sélectionnez le lanceur d’applications. Si le bouton Administrateur s’affiche, cela signifie que vous êtes un administrateur.
  2. Sélectionnez Administrateur pour accéder au Centre d'administration Microsoft 365.
  3. Dans le volet de navigation de gauche, sélectionnez Utilisateurs>Utilisateurs actifs.
  4. Sélectionnez la personne qui doit être administrateur. Les détails de l’utilisateur s’affichent dans la boîte de dialogue de droite.

Avant de commencer

La Centre d’administration Microsoft 365 vous permet de gérer Microsoft Entra rôles et Microsoft Intune rôles. Cependant, ces rôles sont un sous-ensemble des rôles disponibles dans le centre d'administration Microsoft Entra et le centre d'administration Intune.

Pour obtenir la liste complète des descriptions détaillées des rôles Microsoft Entra que vous pouvez gérer dans le Centre d’administration Microsoft 365, case activée les autorisations de rôle Administrateur dans Microsoft Entra rôles intégrés.

Pour obtenir la liste complète des descriptions détaillées des rôles Intune que vous pouvez gérer dans le Centre d’administration Microsoft 365, case activée contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Si vous souhaitez en savoir plus sur l’attribution de rôles dans le Centre d’administration Microsoft 365, consultez la page Attribuer des rôles d’administrateur.

Directives de sécurité pour l'attribution des rôles

Étant donné que les administrateurs ont accès à des fichiers et données sensibles, nous vous recommandons de suivre ces instructions afin de renforcer la sécurité des données au sein de votre organisation.

Recommandation Pourquoi est-ce important ?
Avoir le moins d’administrateurs généraux possible Les administrateurs généraux disposent d’un accès quasi illimité aux paramètres de votre organization et à la plupart de ses données. Nous vous recommandons de limiter autant que possible le nombre d’administrateurs généraux. Un Administration global peut verrouiller par inadvertance son compte et exiger une réinitialisation de mot de passe. Une autre Administration globale ou une Administration d’authentification privilégiée peut réinitialiser le mot de passe d’un Administration global. Par conséquent, nous vous recommandons d’avoir au moins un administrateur d’authentification privilégiée dans le cas où une Administrateur général est verrouillée hors de son compte.
Attribuer le rôle le moins permissif L’attribution du rôle le moins permissif signifie que vous ne donnez aux administrateurs qu'un rôle d'accès à ce dont ils ont besoin pour accomplir leurs tâches. Par exemple, si vous souhaitez que quelqu’un réinitialise les mots de passe des employés, vous ne devez pas attribuer le rôle d’administrateur général illimité, vous devez attribuer un rôle d’administrateur limité, comme administrateur de mot de passe ou administrateur du support technique.
Exiger une authentification multifacteur pour les administrateurs Il est recommandé d’exiger l’authentification multifacteur (MFA) pour l’ensemble de vos utilisateurs, et les administrateurs devraient clairement être obligés d’utiliser l’authentification multifacteur pour se connecter. L’authentification multifacteur permet aux utilisateurs d’utiliser une deuxième méthode d’identification pour vérifier leur identité. Les administrateurs peuvent avoir accès à la plupart des données des clients et des employés. Si vous avez besoin de l’authentification multifacteur, même si le mot de passe de l’administrateur est compromis, le mot de passe est inutile sans la deuxième méthode d’identification.

Lorsque vous activez l’authentification multifacteur, lors de la connexion suivante de l'utilisateur, il doit fournir une adresse de messagerie alternative et un numéro de téléphone pour la récupération de compte.
Configurer l’authentification multifacteur

Si vous recevez un message dans le centre d’administration indiquant que vous n’êtes pas autorisé à modifier un paramètre ou une page, c’est parce que vous êtes affecté à un rôle qui ne dispose pas de cette autorisation. Contactez un autre administrateur pour vous attribuer les autorisations appropriées ou consultez Attribuer des rôles d’administrateur pour vous attribuer le rôle approprié.

Rôles communément utilisés dans le centre d’administration 365 Microsoft

Dans le centre d'administration de Microsoft 365, vous pouvez accéder aux affectations de rôles, puis sélectionner un rôle pour ouvrir son volet détaillé. Sélectionnez l’onglet Autorisations pour afficher la liste détaillée des autorisations attribuées à ce rôle d'administrateur. Sélectionnez l’onglet Attribué ou Administrateurs affectés pour ajouter des utilisateurs aux rôles.

Vous devrez probablement attribuer les rôles suivants au sein de votre organisation. Par défaut, les rôles les plus utilisés par les organisations s'affichent en premier. Si le rôle recherché est introuvable, accédez au bas de la liste et sélectionnez Afficher tout par catégorie. Pour plus d’informations, notamment les applets de commande associées à un rôle, consultez Microsoft Entra rôles intégrés.

Rôle d’administrateur À qui doit être affecté ce rôle ?
Administrateur de facturation Affectez aux utilisateurs un administrateur de facturation qui peut effectuer des achats, gérer des demandes d’abonnement et de services et surveiller l’intégrité des services. Les administrateurs de facturation ne peuvent pas attribuer de licences ; Si un administrateur de facturation est également administrateur de licence ou d’utilisateur, consultez Licences pour attribuer des licences.

Les administrateurs de facturation peuvent également :
• Gérer tous les aspects de la facturation
• Créer et gérer des tickets de support dans le Portail Azure

Administrateur Exchange Attribuez le rôle d’administrateur Exchange aux utilisateurs qui doivent afficher et gérer les boîtes aux lettres de messagerie de vos utilisateurs, les groupes Microsoft 365 et Exchange Online.

Les administrateurs Exchange peuvent aussi :
• Récupérer les éléments supprimés dans la boîte aux lettres d’un utilisateur
• Configurer les délégués « Envoyer en tant que » et « Envoyer de la part »
Administrateur d’infrastructure Attribuez le rôle d’administrateur fabric aux utilisateurs qui doivent effectuer les opérations suivantes :
• Gérer toutes les fonctionnalités d’administration pour Microsoft Fabric et Power BI
• Rapport sur l’utilisation et les performances
• Examiner et gérer l’audit
Administrateur général Accorder un accès global à un trop grand nombre d’utilisateurs est un risque pour la sécurité et nous vous recommandons d’avoir le moins d’administrateurs généraux possible.

Seuls les administrateurs généraux peuvent :
• Réinitialiser les mots de passe pour tous les utilisateurs
• Ajouter et gérer des domaines
• Débloquer un autre administrateur général

Note: La personne qui s’est inscrite à Microsoft services en ligne devient automatiquement administrateur général. En outre, seuls les administrateurs généraux peuvent afficher et gérer les abonnements achetés auprès d’un partenaire.
Lecteur général Attribuez le rôle de lecteur global aux utilisateurs qui doivent afficher les fonctionnalités et paramètres d’administration dans des centres d’administration que l’administrateur général peut afficher. Un administrateur lecteur global n'est pas autorisé à modifier des paramètres.
Administrateur de groupes Attribuez le rôle d’administrateur de groupes aux utilisateurs qui doivent gérer tous les paramètres de groupes dans les centres d’administration, y compris le Centre d’administration Microsoft 365 et le Centre d’administration Microsoft Assistant.

Les administrateurs de groupe peuvent :
• Créer, modifier, supprimer et restaurer des groupes Microsoft 365
• Créer et mettre à jour des stratégies de création, d’expiration et d’affectation de noms de groupe
• Créer, modifier, supprimer et restaurer Microsoft Entra groupes de sécurité
Administrateur du support technique Attribuez le rôle d’administrateur du support technique aux utilisateurs qui doivent effectuer les opérations suivantes :
• Réinitialiser les mots de passe
• Forcer les utilisateurs à se déconnecter
• Gérer les demandes de service
• Surveiller l’intégrité du service

Remarque: l’administrateur du support technique peut uniquement aider des utilisateurs sans rôle d'administrateur et les utilisateurs ayant ces rôles : lecteur d’annuaire, invités hôtes, administrateur du support technique, lecteur de centre de messages et lecteur de rapports.
Administrateur de licences Affectez le rôle d’administrateur de licences aux utilisateurs qui doivent attribuer et supprimer des licences d’utilisateurs et modifier leur localisation d’utilisation.

Les administrateurs de licences peuvent également :
• Retraiter les attributions de licences pour les licences basées sur les groupes
• Attribuer des licences de produit à des groupes pour les licences basées sur les groupes
Lecteur de confidentialité du Centre de messages Attribuez le rôle de lecteur de confidentialité du Centre de messages aux utilisateurs qui doivent lire les messages et mises à jour de confidentialité et de sécurité dans le Centre de messages Microsoft 365. Les lecteurs de confidentialité du Centre de messages peuvent recevoir des notifications par e-mail relatives à la confidentialité des données, en fonction de leurs préférences, et ils peuvent se désabonner à l’aide des préférences du Centre de messages. Seuls les administrateurs généraux et les lecteurs de confidentialité du Centre de messages peuvent lire les messages de confidentialité des données. Ce rôle n’a pas l’autorisation d’afficher, de créer ou de gérer les demandes de service.

Les lecteurs de confidentialité du Centre de messages peuvent également :
• Surveiller toutes les notifications dans le Centre de messages, y compris les messages de confidentialité des données
• Afficher les groupes, les domaines et les abonnements
Lecteur du Centre de messages Attribuez le rôle de Lecteur de Centre de messages aux utilisateurs qui doivent effectuer les opérations suivantes :
• Surveiller les notifications du centre de messages
• Obtenir des synthèses hebdomadaires des messages et des mises à jour du centre de messages
• Partager des billets du centre de messages
• Avoir un accès en lecture seule aux services Microsoft Entra, tels que les utilisateurs et les groupes
Administrateur de la migration Attribuez le rôle Administrateur de migration Microsoft 365 aux utilisateurs qui doivent effectuer les tâches suivantes :
• Utilisez le Gestionnaire de migration dans le Centre d’administration Microsoft 365 pour gérer la migration de contenu vers Microsoft 365, y compris les sites Teams, OneDrive Entreprise et SharePoint, à partir de diverses sources telles que Google Drive, Dropbox et Box.
• Sélectionnez des sources de migration, créez des inventaires de migration (tels que des listes d’utilisateurs Google Drive), planifiez et exécutez des migrations et téléchargez des rapports.
• Créez des sites SharePoint si les sites de destination n’existent pas déjà, créez des listes SharePoint sous les sites d’administration SharePoint et créez et mettez à jour des éléments dans des listes SharePoint.
• Gérez les paramètres du projet de migration et le cycle de vie de migration pour les tâches, ainsi que les mappages d’autorisations de la source à la destination.

Note: Avec ce rôle, vous pouvez uniquement migrer à partir de Google Drive, Box, Dropbox et Egnyte. Ce rôle ne vous permet pas de migrer à partir de sources de partage de fichiers à partir du Centre d’administration SharePoint. Utilisez l’administrateur SharePoint pour migrer à partir de sources de partage de fichiers.
Administrateur d'applications Office Attribuez le rôle d’administrateur d'applications Office aux utilisateurs qui doivent effectuer les opérations suivantes :
• Utilisez le service De stratégie cloud pour Microsoft 365 pour créer et gérer des stratégies basées sur le cloud.
• Créer et gérer des demandes de service
• Gérer le contenu Nouveautés que les utilisateurs voient dans leurs applications dans Microsoft 365
• Surveiller l’intégrité du service
Enregistreur de messages organisationnels Attribuez le rôle Enregistreur de messages organisationnels aux utilisateurs qui doivent écrire, publier, gérer et examiner les messages organisationnels pour les utilisateurs finaux via des surfaces de produits Microsoft.
Approbateur de messages d’organisation Attribuez le rôle Approbateur de messages organisationnels aux utilisateurs qui doivent examiner, approuver ou rejeter de nouveaux messages organisationnels à des fins de remise dans le Centre d’administration Microsoft 365 avant d’être envoyés aux utilisateurs via des surfaces de produits Microsoft.
Administrateur de mots de passe Affectez le rôle d'administrateur de mots de passe à un utilisateur qui doit réinitialiser des mots de passe pour les non administrateurs et les administrateurs de mots de passe.
Administrateur Power Platform Attribuez le rôle d’administrateur de Power Platform aux utilisateurs qui doivent effectuer les opérations suivantes :
• Gérer toutes les fonctionnalités d’administration pour Power Apps, Power Automate, Power BI, Microsoft Fabric et Protection contre la perte de données Microsoft Purview
• Créer et gérer des demandes de service
• Surveiller l’intégrité du service
Lecteur de rapports Attribuez le rôle de Lecteur de rapports aux utilisateurs qui doivent effectuer les opérations suivantes :
• Afficher les données d’utilisation et les rapports d’activité dans le Centre d’administration Microsoft 365
• Accéder au pack de contenu d’adoption de Power BI
• Accéder aux rapports de connexion et à l’activité dans Microsoft Entra ID
• Afficher les données retournées par l’API de création de rapports Microsoft Graph
Administrateur de recherche Attribuez le rôle d’administrateur de recherche aux utilisateurs qui doivent créer et gérer le contenu des résultats de recherche et définir des paramètres de requête pour améliorer les résultats de recherche dans le organization. L’administrateur de recherche gère la configuration de recherche Microsoft et peut effectuer toutes les tâches de gestion de contenu qu’un éditeur de recherche peut effectuer.
Administrateur de support de service Affectez le rôle d’administrateur de support de service en tant que rôle supplémentaire aux administrateurs ou aux utilisateurs qui doivent effectuer ce qui suit en complément de leur rôle d’administrateur habituel :
• Ouvrir et gérer les demandes de service
• Afficher et partager des billets du centre de messages
• Surveiller l’intégrité du service
Administrateur SharePoint Attribuez le rôle d’administrateur SharePoint aux utilisateurs qui doivent accéder et gérer le centre d’administration SharePoint Online.

Les administrateurs SharePoint peuvent également :
• Créer et supprimer des sites
• Gérer les collections de sites et les paramètres SharePoint globaux
Administrateur de Teams Attribuez le rôle d’administrateur Teams aux utilisateurs qui doivent accéder et gérer le centre d’administration Teams.

Les administrateurs Teams peuvent également :
• Gérer les réunions
• Gérer les ponts de conférence
• Gérer tous les paramètres à l’échelle de l’organisation, y compris la fédération, la mise à niveau des équipes et les paramètres client teams
Administrateur d’utilisateurs Attribuez le rôle d’administrateur d'utilisateurs aux ceux qui doivent effectuer les opérations suivantes pour l'ensemble des utilisateurs :
• Ajouter des utilisateurs et des groupes
• Attribuer des licences
• Gérer les propriétés de la plupart des utilisateurs
• Créer et gérer des vues utilisateur
• Mettre à jour les stratégies d’expiration du mot de passe
• Gérer les demandes de service
• Surveiller l’intégrité du service

L’administrateur d’utilisateurs peut également effectuer les actions suivantes pour les utilisateurs qui ne sont pas administrateurs et pour ceux auxquels les rôles suivants sont attribués : lecteur de répertoire, inviteur d'invités, administrateur du support technique, lecteur du centre de messages, lecteur de rapports :
• Gérer les noms d’utilisateur
• Supprimer et restaurer des utilisateurs
• Réinitialiser les mots de passe
• Forcer les utilisateurs à se déconnecter
• Mettre à jour les clés d’appareil (FIDO)
Gestionnaire de réussite de l'expérience utilisateur Attribuez le rôle Gestionnaire de réussite de l’expérience utilisateur aux utilisateurs qui doivent accéder à Experience Insights, au score d’adoption et au Centre de messages dans le Centre d’administration Microsoft 365. Ce rôle inclut les autorisations du rôle Lecteur des rapports de résumé d’utilisation.

Autorisations basées sur Administration rôle et type de groupe dans la page Administration M365

rôle Administration Groupes M365 Groupes de sécurité Groupes de distribution dynamique Groupes de sécurité à extension messagerie
Administrateur général Créer, lire, mettre à jour, supprimer Créer, lire, mettre à jour, supprimer Créer, lire, mettre à jour, supprimer Créer, lire, mettre à jour, supprimer
Lecteur général Lire Lire Lire Lire
Administrateur d’utilisateurs Créer, Lire, Mettre à jour, Supprimer, Impossible de mettre à jour les propriétés EXO Créer, lire, mettre à jour, supprimer Lire Lire
Administrateur Exchange Créer, lire, mettre à jour, supprimer Lire, Mettre à jour : seuls les groupes dont ils sont propriétaires, Supprimer - uniquement les groupes dont ils sont propriétaires Créer, lire, mettre à jour, supprimer Créer, lire, mettre à jour, supprimer
Administrateur Teams Créer, Lire, Mettre à jour, Supprimer, Impossible de mettre à jour les propriétés EXO Créer, Lire, Mettre à jour, Supprimer : uniquement les groupes dont ils sont propriétaires Lire Lire
Administrateur SharePoint Créer, Lire, Mettre à jour, Supprimer, Impossible de mettre à jour les propriétés EXO Créer, Lire, Mettre à jour, Supprimer uniquement les groupes dont ils sont propriétaires Lire Lire
Administrateur de facturation Lire Lire Lire Lire
Administrateur Skype Lire Lire Lire Lire
Administrateur de service Lire Lire Lire Lire
Administrateur de groupe Créer, Lire, Mettre à jour, Supprimer, Impossible de mettre à jour les propriétés EXO Créer, lire, mettre à jour, supprimer Lire Lire

Administration déléguée pour les partenaires Microsoft

Si vous travaillez avec un partenaire Microsoft, vous pouvez lui attribuer un rôle d’administrateur. Il peut à son tour attribuer des rôles d'administrateur aux utilisateurs de votre entreprise ou de la sienne. Vous pouvez attribuer des rôles d’administrateur à des partenaires s’ils configurent et gèrent votre organization en ligne pour vous.

Un partenaire peut attribuer ces rôles :

  • Agent d’administration Privilèges équivalents à un administrateur général, à l’exception de la gestion de l’authentification multifacteur via l’Espace partenaires.

  • Agent de support technique, dont les privilèges sont équivalents à ceux d’un administrateur du support technique.

Pour que le partenaire puisse attribuer ces rôles à des utilisateurs, vous devez ajouter le partenaire en tant qu’administrateur délégué de votre compte. Le partenaire doit être un partenaire autorisé. Le partenaire vous envoie un e-mail pour vous demander l’autorisation d’agir en tant qu’administrateur délégué. Pour consulter des instructions, voir Autoriser ou supprimer des relations de partenaire.

Rôles de licence en volume

Les autorisations d’accès aux informations de licence en volume dans Centre d’administration Microsoft 365 sont contrôlées par les administrateurs de contrats VL dans le Centre de gestion des licences en volume (VLSC), même pour les rôles VL qui utilisent principalement des fonctionnalités dans le Centre d’administration Microsoft 365 plutôt que VLSC.

  • Certaines fonctionnalités de licence en volume (VL) sont désormais disponibles dans Centre d’administration Microsoft 365 dans un nouveau panneau de licence en volume visible uniquement pour les utilisateurs de licence en volume.

  • Les utilisateurs de licences en volume ne voient aucune autre Centre d’administration Microsoft 365 informations ou fonctionnalités.

  • Centre d’administration Microsoft 365 administrateurs généraux n’ont aucun rôle dans l’attribution d’autorisations utilisateur VL et n’ont pas besoin d’attribuer d’autorisations d’administrateur aux utilisateurs VL pour qu’ils puissent voir le panneau des licences en volume.

  • Les utilisateurs de licences en volume doivent d’abord s’inscrire sur le Centre de gestion des licences en volume (VLSC), où tous les rôles et autorisations pour les fonctions de gestion des licences en volume sont gérés.

  • Pour plus d’informations sur les licences en volume dans Centre d’administration Microsoft 365, consultez Forum aux questions pour le Centre de gestion des licences en volume ou contactez l’équipe du service de gestion des licences en volume.

Attribuer des rôles administrateur (article)
Microsoft Entra rôles dans le Centre d’administration Microsoft 365 (article)
Rapports d’activité dans le Centre d’administration Microsoft 365 (article)
Rôle d’administrateur Exchange Online (article)