Informazioni sui ruoli di amministratore nell'interfaccia di amministrazione di Microsoft 365

Consultare la Guida per le piccole imprese di Microsoft 365 su YouTube.

La sottoscrizione di Microsoft 365 o Office 365 include un set di ruoli di amministratore che è possibile assegnare agli utenti dell'organizzazione usando il interfaccia di amministrazione di Microsoft 365. Ogni ruolo di amministratore è associato a funzioni aziendali comuni e assegna le autorizzazioni per eseguire determinate attività nelle interfacce di amministrazione.

Consiglio

Per assistenza con i passaggi descritti in questo argomento, è consigliabile collaborare con uno specialista di piccole imprese Microsoft. Con Business Assist, tu e i tuoi dipendenti ottenete l'accesso 24 ore su 24 agli specialisti delle piccole imprese man a seconda della crescita dell'azienda, dall'onboarding all'uso quotidiano.

Guardare: Che cos'è un amministratore?

È possibile guardare questo video e altri sul nostro canale YouTube.

  1. Dopo aver eseguito l'accesso a Microsoft 365, selezionare l'icona di avvio delle app. Se viene visualizzato il pulsante Amministrazione, si è un amministratore.
  2. Selezionare Amministratore per passare all'interfaccia di amministrazione di Microsoft 365.
  3. Nel riquadro di spostamento sinistro, selezionare Utenti>Utenti attivi.
  4. Selezionare la persona che si desidera rendere un amministratore. I dettagli dell'utente vengono visualizzati nella finestra di dialogo a destra.

Prima di iniziare

Il interfaccia di amministrazione di Microsoft 365 consente di gestire ruoli Microsoft Entra e ruoli Microsoft Intune. Tuttavia, questi ruoli sono un sottoinsieme dei ruoli disponibili nell’interfaccia di amministrazione di Microsoft Entra e nell’interfaccia di amministrazione di Intune.

Per l'elenco completo delle descrizioni dettagliate dei ruoli Microsoft Entra che è possibile gestire nel interfaccia di amministrazione di Microsoft 365, vedere Autorizzazioni del ruolo amministratore in Microsoft Entra ruoli predefiniti.

Per l'elenco completo delle descrizioni dettagliate dei ruoli Intune che è possibile gestire nel interfaccia di amministrazione di Microsoft 365, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Per altre informazioni sull'assegnazione di ruoli nell'interfaccia di amministrazione di Microsoft 365, vedere Assegnare ruoli di amministratore.

Linee guida di sicurezza per l'assegnazione di ruoli

Dato che gli amministratori hanno accesso a file e dati sensibili, è consigliabile seguire queste linee guida per proteggere i dati dell'organizzazione.

Consiglio Perché è importante?
Avere il minor numero possibile di amministratori globali Gli amministratori globali hanno accesso quasi illimitato alle impostazioni dell'organizzazione e alla maggior parte dei relativi dati. È consigliabile limitare il più possibile il numero di amministratori globali. Un Amministrazione globale può bloccare inavvertitamente l'account e richiedere una reimpostazione della password. Un altro Amministrazione globale o un Amministrazione di autenticazione con privilegi può reimpostare la password di un Amministrazione globale. Pertanto, è consigliabile avere almeno un amministratore di Privileged Authentication nel caso in cui un amministratore globale sia bloccato dal proprio account.
Assegnare il ruolo meno permissivo Se si assegna il ruolo meno permissivo, gli amministratori avranno solo l'accesso di cui hanno bisogno per completare l'attività. Ad esempio, se si vuole che qualcuno ripristini le password dei dipendenti, non assegnare il ruolo di amministratore globale illimitato, è necessario assegnare un ruolo di amministratore limitato, ad esempio Amministratore password o Amministratore helpdesk.
Richiedere l'autenticazione a più fattori per gli amministratori In realtà l'autenticazione a più fattori è consigliabile per tutti gli utenti, ma a maggior ragione per l'accesso degli amministratori dovrebbe essere un requisito imprescindibile. MFA fa in modo che gli utenti usino un secondo metodo di identificazione per verificare la propria identità. Gli amministratori possono accedere a gran parte dei dati dei clienti e dei dipendenti. Se è necessaria l'autenticazione a più fattori, anche se la password dell'amministratore viene compromessa, la password è inutile senza il secondo metodo di identificazione.

Quando si attiva l'autenticazione a più fattori, al successivo accesso l'utente dovrà specificare un indirizzo di posta elettronica alternativo e un numero di telefono per il ripristino dell'account.
Configurare l'autenticazione a più fattori

Se si riceve un messaggio nell'interfaccia di amministrazione che non si dispone delle autorizzazioni per modificare un'impostazione o una pagina, è perché viene assegnato un ruolo che non dispone di tale autorizzazione. Rivolgersi a un altro amministratore per assegnare le autorizzazioni corrette o vedere Assegnare ruoli di amministratore per assegnare il ruolo corretto.

Ruoli dell'interfaccia di amministrazione di Microsoft 365 di uso comune

Nell'interfaccia di amministrazione di Microsoft 365 è possibile passare a Assegnazioni di ruolo e quindi selezionare un ruolo per aprire il relativo riquadro dei dettagli. Selezionare la scheda Autorizzazioni per visualizzare l'elenco dettagliato delle autorizzazioni di cui dispongono gli amministratori a cui è assegnato quel ruolo. Selezionare la scheda Assegnate o Amministratori assegnati per aggiungere utenti ai ruoli.

Probabilmente sarà necessario assegnare solo i ruoli seguenti nell'organizzazione. Per impostazione predefinita, vengono visualizzati i ruoli usati dalla maggior parte delle organizzazioni. Se non si riesce a trovare un ruolo, selezionare Mostra tutto per categoria in fondo all'elenco. Per informazioni dettagliate, inclusi i cmdlet associati a un ruolo, vedere Microsoft Entra ruoli predefiniti.

Ruolo di amministratore A chi è opportuno assegnare questo ruolo?
Amministratore fatturazione Assegna il ruolo di amministratore fatturazione agli utenti che effettuano acquisti, gestisci abbonamenti e richieste di servizi ed esegui il monitoraggio dell'integrità dei servizi. Gli amministratori della fatturazione non possono assegnare licenze; Se un amministratore di fatturazione è anche un amministratore di licenza o utente, visitare Licenze per assegnare le licenze.

Gli amministratori fatturazione possono anche fare quanto segue:
• Gestire tutti gli aspetti della fatturazione
• Creare e gestire ticket di supporto nel portale di Azure

Amministratore di Exchange Assegnare il ruolo di amministratore di Exchange agli utenti che hanno la necessità di visualizzare e gestire le cassette postali di posta elettronica degli utenti, i gruppi di Microsoft 365 ed Exchange Online.

Gli amministratori di Exchange possono anche:
• Ripristinare gli elementi eliminati nella cassetta postale di un utente
• Configurare i delegati "Invia come" e "Invia per conto"
Amministratore dell'infrastruttura Assegnare il ruolo di amministratore di Fabric agli utenti che devono eseguire le operazioni seguenti:
• Gestire tutte le funzionalità di amministrazione per Microsoft Fabric e Power BI
• Report sull'utilizzo e le prestazioni
• Esaminare e gestire il controllo
Amministratore globale Concedere a un numero eccessivo di utenti l'accesso globale è un rischio per la sicurezza ed è consigliabile avere il minor numero possibile di amministratori globali.

Solo gli amministratori globali possono:
• Reimpostare le password per tutti gli utenti
• Aggiungere e gestire domini
• Sbloccare un altro amministratore globale

Nota: La persona che ha effettuato l'iscrizione a Microsoft Servizi online diventa automaticamente un amministratore globale. Inoltre, solo gli amministratori globali possono visualizzare e gestire le sottoscrizioni acquistate tramite un partner.
Ruolo con autorizzazioni di lettura globali Assegnare il ruolo con autorizzazioni di lettura globali agli utenti che hanno l'esigenza di visualizzare funzionalità e impostazioni di amministrazione nelle interfacce di amministrazione che l'amministratore globale può visualizzare. L'amministratore con il ruolo con autorizzazioni di lettura globali non può modificare impostazioni.
Amministratore gruppi Assegnare il ruolo di amministratore dei gruppi agli utenti che devono gestire tutte le impostazioni dei gruppi nelle interfacce di amministrazione, comprese l'Interfaccia di amministrazione di Microsoft 365 e l’Interfaccia di amministrazione di Microsoft Entra.

Gli amministratori dei gruppi possono:
• Creare, modificare, eliminare e ripristinare gruppi di Microsoft 365
• Creare e aggiornare i criteri di creazione, scadenza e denominazione dei gruppi
• Creare, modificare, eliminare e ripristinare gruppi di sicurezza Microsoft Entra
Amministratore di supporto tecnico Assegnare il ruolo di amministratore di supporto tecnico agli utenti che devono eseguire le azioni seguenti:
• Reimpostare le password
• Forzare gli utenti a disconnettersi
• Gestire le richieste di servizio
• Monitorare l'integrità del servizio

Nota: l'amministratore di supporto tecnico può solo assistere gli utenti che non sono amministratori e gli utenti a cui sono assegnati i ruoli seguenti: ruolo con autorizzazioni di lettura nella directory, mittente dell'invito guest, amministratore di supporto tecnico, ruolo con autorizzazioni di lettura per il Centro messaggi e ruolo con autorizzazioni di lettura per i report.
Amministratore licenze Assegna il ruolo di amministratore della licenza agli utenti che devono assegnare e rimuovere licenze dagli utenti e modificarne la posizione di utilizzo.

Gli amministratori delle licenze possono anche fare quanto segue:
• Rielaborare le assegnazioni di licenza per le licenze basate su gruppo
• Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppi
Ruolo con autorizzazioni di lettura della privacy per il Centro messaggi Assegnare il ruolo con autorizzazioni di lettura della privacy per il Centro messaggi agli utenti che devono leggere i messaggi e gli aggiornamenti relativi alla privacy e alla sicurezza nel Centro messaggi di Microsoft 365. Gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono ricevere notifiche tramite posta elettronica relative alla privacy dei dati, a seconda delle loro preferenze, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo gli amministratori globali e gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo non dispone dell'autorizzazione per visualizzare, creare o gestire le richieste di servizio.

Gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono anche:
• Monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati
• Visualizzare gruppi, domini e sottoscrizioni
Amministratore che legge il Centro messaggi Assegnare il ruolo di lettore del Centro messaggi agli utenti che devono eseguire le operazioni seguenti:
• Monitorare le notifiche del centro messaggi
• Ottenere digest settimanali di posta elettronica di post e aggiornamenti del centro messaggi
• Condividere i post del centro messaggi
• Avere accesso in sola lettura ai servizi di Microsoft Entra, ad esempio utenti e gruppi
Amministratore della migrazione Assegnare il ruolo Amministratore migrazione Microsoft 365 agli utenti che devono eseguire le attività seguenti:
• Usare Gestione migrazione nel interfaccia di amministrazione di Microsoft 365 per gestire la migrazione del contenuto a Microsoft 365, inclusi Teams, OneDrive for Business e siti di SharePoint, da varie origini, ad esempio Google Drive, Dropbox e Box.
• Selezionare le origini di migrazione, creare inventari di migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report.
• Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint.
• Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività, nonché gestire i mapping delle autorizzazioni dall'origine alla destinazione.

Nota: Con questo ruolo, è possibile eseguire la migrazione solo da Google Drive, Box, Dropbox ed Egnyte. Questo ruolo non consente di eseguire la migrazione da origini di condivisione file dall'interfaccia di amministrazione di SharePoint. Usare l'amministratore di SharePoint per eseguire la migrazione da origini di condivisione file.
Amministratore delle app di Office Assegnare il ruolo di amministratore delle app di Office agli utenti che devono eseguire le operazioni seguenti:
• Usare il servizio Criteri cloud per Microsoft 365 per creare e gestire criteri basati sul cloud.
• Creare e gestire le richieste di servizio
• Gestire il contenuto Novità visualizzato dagli utenti nelle app in Microsoft 365
• Monitorare l'integrità del servizio
Writer di messaggi dell'organizzazione Assegnare il ruolo Writer messaggi dell'organizzazione agli utenti che devono scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici dei prodotti Microsoft.
Responsabile approvazione messaggi dell'organizzazione Assegnare il ruolo Responsabile approvazione messaggi dell'organizzazione agli utenti che devono esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 prima di essere inviati agli utenti tramite le superfici dei prodotti Microsoft.
Amministratore password Assegnare il ruolo di amministratore della password a un utente che deve reimpostare le password per utenti non amministratori e amministratori di password.
Amministratore di Power Platform Assegnare il ruolo di amministratore Power Platform agli utenti che devono eseguire le operazioni seguenti:
• Gestire tutte le funzionalità di amministrazione per Power Apps, Power Automate, Power BI, Microsoft Fabric e Prevenzione della perdita dei dati Microsoft Purview
• Creare e gestire le richieste di servizio
• Monitorare l'integrità del servizio
Amministratore che legge i report Assegnare il ruolo amministratore che legge i report agli utenti che devono eseguire le azioni seguenti:
• Visualizzare i dati di utilizzo e i report attività nel interfaccia di amministrazione di Microsoft 365
• Ottenere l'accesso al pacchetto di contenuto per l'adozione di Power BI
• Ottenere l'accesso a report e attività di accesso in Microsoft Entra ID
• Visualizzare i dati restituiti dall'API per la creazione di report di Microsoft Graph
Amministratore della ricerca Assegnare il ruolo di amministratore della ricerca agli utenti che devono creare e gestire il contenuto dei risultati della ricerca e definire le impostazioni di query per ottenere risultati di ricerca migliorati all'interno dell'organizzazione. L'amministratore della ricerca gestisce la configurazione di Microsoft Search e può eseguire tutte le attività di gestione del contenuto che un editor di ricerca può eseguire.
Amministratore del supporto dei servizi Assegnare il ruolo di amministratore del supporto dei servizi come ruolo aggiuntivo agli amministratori o agli utenti che devono eseguire le seguenti operazioni oltre al loro ruolo di amministratore regolare:
• Aprire e gestire le richieste di servizio
• Visualizzare e condividere i post del centro messaggi
• Monitorare l'integrità del servizio
Amministratore di SharePoint Assegnare il ruolo di amministratore di SharePoint agli utenti che devono accedere e gestire l'interfaccia di amministratore di SharePoint Online.

Gli amministratori di SharePoint possono anche:
• Creare ed eliminare siti
• Gestire le raccolte siti e le impostazioni globali di SharePoint
Amministratore di Teams Assegnare il ruolo di amministratore di Teams agli utenti che devono accedere e gestire l'interfaccia di amministratore di Teams.

L'amministratore di Teams può anche:
• Gestire le riunioni
• Gestire i bridge di conferenza
• Gestire tutte le impostazioni a livello di organizzazione, tra cui federazione, aggiornamento dei team e impostazioni client di teams
Amministratore utenti Assegnare il ruolo di amministratore utenti agli utenti che devono eseguire le operazioni seguenti per tutti gli utenti:
• Aggiungere utenti e gruppi
• Assegnare licenze
• Gestire la maggior parte delle proprietà degli utenti
• Creare e gestire visualizzazioni utente
• Aggiornare i criteri di scadenza delle password
• Gestire le richieste di servizio
• Monitorare l'integrità del servizio

L'amministratore utenti può eseguire le azioni seguenti anche per gli utenti che non sono amministratori e a cui è assegnato il ruolo con autorizzazioni di lettura nella directory, mittente dell'invito guest, amministratore di supporto tecnico, il ruolo con autorizzazioni di lettura per il Centro messaggi e il ruolo con autorizzazioni di lettura per i report:
• Gestire i nomi utente
• Eliminare e ripristinare gli utenti
• Reimpostare le password
• Forzare gli utenti a disconnettersi
• Aggiornare le chiavi del dispositivo (FIDO)
Responsabile del successo dell'esperienza utente Assegnare il ruolo User Experience Success Manager agli utenti che devono accedere a Experience Insights, al punteggio di adozione e al Centro messaggi nel interfaccia di amministrazione di Microsoft 365. Questo ruolo include le autorizzazioni del ruolo Lettore report di riepilogo utilizzo.

Autorizzazioni basate su Amministrazione ruolo e tipo di gruppo nella pagina Amministrazione M365

ruolo Amministrazione M365 Gruppi Security Groups Gruppi di distribuzione Gruppi di sicurezza abilitata per la posta elettronica
Amministratore globale Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare
Ruolo con autorizzazioni di lettura globali Lettura Lettura Lettura Lettura
Amministratore utenti Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare Lettura Lettura
Amministratore di Exchange Creare, leggere, aggiornare, eliminare Lettura, aggiornamento: solo i gruppi di cui sono proprietari, Elimina, solo i gruppi di cui sono proprietari Creare, leggere, aggiornare, eliminare Creare, leggere, aggiornare, eliminare
Amministratore di Teams Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare: solo i gruppi di cui sono proprietari Lettura Lettura
Amministratore di SharePoint Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare solo i gruppi di cui sono proprietari Lettura Lettura
Amministratore fatturazione Lettura Lettura Lettura Lettura
Amministratore di Skype Lettura Lettura Lettura Lettura
Amministratore del servizio Lettura Lettura Lettura Lettura
Amministratore gruppo Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO Creare, leggere, aggiornare, eliminare Lettura Lettura

Amministrazione con delega per partner Microsoft

Se si collabora con un partner Microsoft, è possibile assegnargli un ruolo di amministratore. Il partner a sua volta può assegnare un ruolo di amministratore ad altri utenti della propria azienda o di quella con cui collabora. È possibile assegnare ruoli di amministratore ai partner se stanno configurando e gestendo automaticamente l'organizzazione online.

Un partner può assegnare questi ruoli:

  • Agente amministratore Privilegi equivalenti a un amministratore globale, ad eccezione della gestione dell'autenticazione a più fattori tramite il Partner Center.

  • Agente help desk Privilegi equivalenti a quelli del ruolo di amministratore di supporto tecnico.

Prima che il partner possa assegnare questi ruoli agli utenti, è necessario aggiungerlo come amministratore con delega al proprio account. Il partner deve essere un partner autorizzato. Per istruzioni, vedere Autorizzare o rimuovere relazioni con i partner.

Ruoli contratti multilicenza

Le autorizzazioni per le informazioni sui contratti multilicenza in interfaccia di amministrazione di Microsoft 365 sono controllate dagli amministratori del contratto VL in Volume Licensing Service Center (VLSC), anche per i ruoli VL che usano prevalentemente le funzionalità nel interfaccia di amministrazione di Microsoft 365 anziché VLSC.

  • Alcune funzionalità di contratti multilicenza sono ora disponibili in interfaccia di amministrazione di Microsoft 365 in un nuovo pannello multilicenza visibile solo agli utenti con contratti multilicenza.

  • Gli utenti con contratti multilicenza non visualizzano altre informazioni o funzionalità interfaccia di amministrazione di Microsoft 365.

  • interfaccia di amministrazione di Microsoft 365 gli amministratori globali non hanno alcun ruolo nell'assegnazione delle autorizzazioni utente VL e non devono assegnare autorizzazioni di amministratore agli utenti VL per visualizzare il pannello contratti multilicenza.

  • Gli utenti con contratti multilicenza devono prima registrarsi nel Volume Licensing Service Center (VLSC), dove vengono gestiti tutti i ruoli e le autorizzazioni per le funzioni multilicenza.

  • Per altre informazioni sui contratti multilicenza in interfaccia di amministrazione di Microsoft 365, vedere Domande frequenti per il Centro servizi multilicenza o contattare il team del servizio contratti multilicenza.

Assegnare ruoli di amministratore (articolo)
Microsoft Entra ruoli nel interfaccia di amministrazione di Microsoft 365 (articolo)
Report sulle attività nell'interfaccia di amministrazione di Microsoft 365 (aticolo)
Ruolo di amministratore di Exchange Online (articolo)