Сведения о ролях администраторов в Центре администрирования Microsoft 365

Ознакомьтесь со справкой по Microsoft 365 для малого бизнеса на YouTube.

Подписка на Microsoft 365 или Office 365 поставляется с набором ролей администратора, которые можно назначить пользователям в организации с помощью Центр администрирования Microsoft 365. Каждой роли администратора соответствуют распространенные бизнес-функции, и она предоставляет пользователям организации разрешения на выполнение определенных задач в Центрах администрирования.

Совет

Если вам нужна помощь с действиями в этом разделе, рассмотрите возможность взаимодействия со специалистом Майкрософт по малому бизнесу. С помощью бизнес-помощника вы и ваши сотрудники получаете круглосуточный доступ к знаниям специалистов по малому бизнесу по мере развития вашего предприятия: от начальных этапов до повседневной работы.

Видео. Кто такой администратор?

Ознакомьтесь с этим и другими видео на нашем YouTube-канале.

  1. Выполнив вход в Microsoft 365, выберите средство запуска приложений. Если отображается кнопка "Администрирование", вы являетесь администратором.
  2. Нажмите Администрирование, чтобы перейти в Центр администрирования Microsoft 365.
  3. В области навигации слева выберите Пользователи>Активные пользователи.
  4. Выберите пользователя, которого нужно сделать администратором. Сведения о пользователе отображаются в диалоговом окне справа.

Прежде чем начать

Центр администрирования Microsoft 365 позволяет управлять ролями Microsoft Entra и ролями Microsoft Intune. Но эти роли являются подмножеством ролей, доступных в Центре администрирования Microsoft Entra и в Центре администрирования Intune.

Полный список подробных Microsoft Entra описаний ролей, которыми можно управлять в Центр администрирования Microsoft 365, проверка разрешения роли администратора в Microsoft Entra встроенных ролей.

Полный список подробных описаний Intune ролей, которыми можно управлять в Центр администрирования Microsoft 365, проверка управление доступом на основе ролей (RBAC) с Microsoft Intune.

Подробнее о назначении ролей в Центре администрирования Microsoft 365 см. в статье Назначение ролей администратора.

Рекомендации по обеспечению безопасности при назначении ролей

Так как администраторы имеют доступ к конфиденциальным данным и файлам, рекомендуется следовать этим руководствам, чтобы обеспечить надежную защиту данных организации.

Рекомендация Почему это так важно?
Иметь как можно меньше глобальных администраторов Глобальные администраторы имеют практически неограниченный доступ к параметрам вашей организации и большинству ее данных. Мы рекомендуем максимально ограничить число глобальных администраторов. Глобальная Администратор может случайно заблокировать свою учетную запись и потребовать сброса пароля. Другой глобальный Администратор или Администратор привилегированной проверки подлинности может сбросить пароль глобальной Администратор. Поэтому рекомендуется иметь по крайней мере администратора привилегированной проверки подлинности в случае блокировки глобальный администратор учетной записи.
Назначайте роль с минимальными разрешениями Назначение роли с минимальными разрешениями означает предоставление администраторам доступа только к требуемым элементам для выполнения задачи. Например, если вы хотите, чтобы кто-то сбросил пароли сотрудников, не следует назначать неограниченную роль глобального администратора, следует назначить ограниченную роль администратора, например администратор паролей или администратор службы поддержки.
Обязательная многофакторная проверка подлинности для администраторов На самом деле, рекомендуется применять многофакторную проверку подлинности (MFA) для всех пользователей, но для администраторов следует обязательно требовать MFA при входе. MFA заставляет пользователей использовать второй метод идентификации для проверки своей личности. Администраторы могут иметь доступ к большей части данных о клиентах и сотрудниках. Если требуется MFA, даже если пароль администратора скомпрометирован, пароль будет бесполезен без второго метода идентификации.

Когда вы включаете MFA, при следующем входе пользователя ему потребуется указать другой адрес электронной почты и номер телефона на случай восстановления учетной записи.
Настройка многофакторной проверки подлинности

Если в Центре администрирования появится сообщение о том, что у вас нет разрешений на изменение параметра или страницы, это связано с тем, что вам назначена роль, которая не имеет этого разрешения. Обратитесь к другому администратору, чтобы назначить вам правильные разрешения, или см. статью Назначение ролей администратора , чтобы назначить себе правильную роль.

Часто используемые роли Центра администрирования Microsoft 365

В Центре администрирования Microsoft 365 можно перейти в раздел Назначение ролей и выбрать любую роль, чтобы открыть ее область сведений. Перейдите на вкладку Разрешения, чтобы просмотреть подробный список разрешений, которые дает эта роль администратора. Чтобы добавить пользователей в роли, выберите Назначенные или Назначенные администраторы.

Скорее всего, вам потребуется назначить только следующие роли в организации. По умолчанию сначала отображаются роли, используемые в большинстве организаций. Если не удается найти нужную роль, перейдите в нижнюю часть списка и выберите Показать все по категориям. Подробные сведения, включая командлеты, связанные с ролью, см. в разделе Microsoft Entra встроенных ролей.

Роль администратора Кому следует назначить эту роль?
Администратор выставления счетов Назначьте роль администратора выставления счетов пользователям, которые делают покупки, управляют подписками и запросами на обслуживание, а также отслеживают работоспособность служб. Администраторы выставления счетов не могут назначать лицензии; Если администратор выставления счетов также является лицензией или администратором пользователей, перейдите на страницу Лицензии, чтобы назначить лицензии.

Администраторы выставления счетов также могут:
• Управление всеми аспектами выставления счетов
• Создание запросов в службу поддержки и управление ими в портал Azure

Администратор Exchange Назначьте роль администратора Exchange пользователям, которым требуется просматривать почтовые ящики электронной почты пользователя, групп Microsoft 365 и Exchange Online, а также управлять ими.

Администраторы Exchange также могут:
• Восстановление удаленных элементов в почтовом ящике пользователя
• Настройка делегатов "Отправить как" и "Отправить от имени"
Администратор структуры Назначьте роль администратора Fabric пользователям, которым необходимо выполнить следующие действия:
• Управление всеми функциями администрирования в Microsoft Fabric и Power BI
• Отчет об использовании и производительности
• Проверка аудита и управление ими
Глобальный администратор Предоставление слишком большого числа пользователей глобального доступа представляет угрозу безопасности, и мы рекомендуем иметь как можно меньше глобальных администраторов.

Только глобальные администраторы могут:
• Сброс паролей для всех пользователей
• Добавление доменов и управление ими
• Разблокировка другого глобального администратора

Заметка: Пользователь, зарегистрировавшийся в Microsoft веб-службы, автоматически становится глобальным администратором. Кроме того, только глобальные администраторы могут просматривать подписки, приобретенные через партнера, и управлять ими.
Глобальный читатель Назначьте роль глобального читателя пользователям, которым необходимо просматривать функции и параметры администрирования в центрах администрирования, доступных для просмотра глобальному администратору. Администратор с ролью глобального читателя не может изменять никакие параметры.
Администратор групп Назначьте роль администратора групп пользователям, которым необходимо управлять всеми параметрами групп в центрах администрирования, включая центр администрирования Microsoft 365 и центр администрирования Microsoft Entra.

Администраторы групп могут:
• Создание, изменение, удаление и восстановление групп Microsoft 365
• Создание и обновление политик создания, истечения срока действия и именования групп
• Создание, изменение, удаление и восстановление Microsoft Entra групп безопасности
Администратор службы поддержки Назначьте роль администратора службы поддержки пользователям, которым требуется выполнять следующее:
• Сброс паролей
• Принудительное выход пользователей
• Управление запросами на обслуживание
• Мониторинг работоспособности служб

Примечание. Администратор службы поддержки может помогать только пользователям, не являющимся администраторами, и пользователям со следующими ролями: читатель каталога, приглашающий гостей, администратор службы поддержки, читатель Центра сообщений и читатель отчетов.
Администратор лицензий Назначьте роль администратора лицензий пользователям, которым необходимо назначать и удалять лицензии пользователей и менять место их использования.

Администраторы лицензий также могут:
• Повторная обработка назначений лицензий для группового лицензирования
• Назначение лицензий на продукты группам для группового лицензирования
Читатель раздела о конфиденциальности в Центре сообщений Назначьте роль читателя раздела о конфиденциальности Центра сообщений пользователям, которым необходимо читать сообщения и обновления по вопросам конфиденциальности и безопасности в Центре сообщений Microsoft 365. Читатели раздела о конфиденциальности Центра сообщений могут получать уведомления по электронной почте, связанные с конфиденциальностью данных, в зависимости от их предпочтений, и они могут отказаться от подписки, используя настройки Центра сообщений. Только глобальные администраторы и читатели раздела о конфиденциальности Центра сообщений могут читать сообщения о конфиденциальности данных. Эта роль не имеет разрешения на просмотр, создание и управление запросами на обслуживание.

Читатели раздела о конфиденциальности Центра сообщений могут также:
• Мониторинг всех уведомлений в Центре сообщений, включая сообщения о конфиденциальности данных
• Просмотр групп, доменов и подписок
Читатель Центра сообщений Назначьте роль читателя Центра сообщений пользователям, которым требуется выполнять следующее:
• Мониторинг уведомлений центра сообщений
• Получайте еженедельные дайджесты сообщений о сообщениях и обновлениях в центре сообщений
• Предоставление общего доступа к сообщениям в центре сообщений
• Доступ только для чтения к Microsoft Entra службам, таким как пользователи и группы.
Администратор миграции Назначьте роль администратора миграции Microsoft 365 пользователям, которым необходимо выполнить следующие задачи:
• Используйте диспетчер миграции в Центр администрирования Microsoft 365 для управления миграцией содержимого в Microsoft 365, включая Teams, OneDrive для бизнеса и сайты SharePoint, из различных источников, таких как Google Диск, Dropbox и Box.
• Выберите источники миграции, создайте инвентаризацию миграции (например, списки пользователей Google Диска), запланируйте и выполните миграцию, а также скачайте отчеты.
• Создавайте новые сайты SharePoint, если конечные сайты еще не существуют, создавайте списки SharePoint на сайтах администрирования SharePoint, а также создавайте и обновляйте элементы в списках SharePoint.
• Управление параметрами проекта миграции и жизненным циклом миграции для задач, а также управление сопоставлениями разрешений из источника в место назначения.

Заметка: С помощью этой роли вы можете выполнить миграцию только с Google Drive, Box, Dropbox и Egnyte. Эта роль не позволяет выполнять миграцию из общих папок из центра администрирования SharePoint. Используйте администратора SharePoint для миграции из источников файлового ресурса.
Администратор приложений Office Назначьте роль администратора приложений Office пользователям, которым требуется выполнять следующее:
• Используйте службу "Облачная политика" для Microsoft 365 для создания облачных политик и управления ими.
• Создание запросов на обслуживание и управление ими
• Управление новым содержимым, которое пользователи видят в своих приложениях в Microsoft 365
• Мониторинг работоспособности служб
Автор корпоративных сообщений Назначьте роль "Модуль сообщений организации" пользователям, которым необходимо писать, публиковать, администрировать и просматривать сообщения организации для конечных пользователей с помощью поверхностей продуктов Майкрософт.
Утверждающий сообщения организации Назначьте роль утверждающего сообщения организации пользователям, которым необходимо проверить, утвердить или отклонить новые сообщения организации для доставки в Центр администрирования Microsoft 365, прежде чем они будут отправлены пользователям через области продуктов Майкрософт.
Администратор паролей Назначьте роль администратора паролей пользователю, которому необходимо сбрасывать пароли для пользователей, которые не являются администраторами.
Администратор Power Platform Назначьте роль администратора Power Platform пользователям, которым требуется выполнять следующее:
• Управление всеми функциями администрирования для Power Apps, Power Automate, Power BI, Microsoft Fabric и Защита от потери данных Microsoft Purview
• Создание запросов на обслуживание и управление ими
• Мониторинг работоспособности служб
Читатель отчетов Назначьте роль читателя отчетов пользователям, которым требуется выполнять следующее:
• Просмотр данных об использовании и отчетов о действиях в Центр администрирования Microsoft 365
• Получите доступ к пакету содержимого для внедрения Power BI.
• Получите доступ к отчетам о входе и действиям в Microsoft Entra ID
• Просмотр данных, возвращаемых API отчетов Microsoft Graph
Администратор Поиска Назначьте роль администратора поиска пользователям, которым необходимо создавать содержимое результатов поиска и управлять ими, а также определять параметры запроса для улучшения результатов поиска в организации. Администратор поиска управляет конфигурацией поиска Майкрософт и может выполнять все задачи по управлению содержимым, которые может выполнять редактор поиска.
Администратор поддержки служб Назначьте роль администратора поддержки служб как дополнительную роль администраторам или пользователям, которым необходимо выполнять следующие действия в дополнение к своей обычной роли администратора:
• Открытие запросов на обслуживание и управление ими
• Просмотр и предоставление общего доступа к сообщениям в центре сообщений
• Мониторинг работоспособности служб
Администратор SharePoint Назначьте роль администратора SharePoint пользователям, которым требуется доступ к Центру администрирования SharePoint Online и управление им.

Администраторы SharePoint также могут:
• Создание и удаление сайтов
• Управление семействами веб-сайтов и глобальными параметрами SharePoint
Администратор Teams Назначьте роль администратора Teams пользователям, которым требуется доступ к Центру администрирования Teams и управление им.

Администратор Teams также может:
• Управление собраниями
• Управление мостами конференций
• Управление всеми параметрами всей организации, включая федерацию, обновление teams и параметры клиента Teams
Администратор пользователей Назначьте роль администратора пользователей тем пользователям, которые должны выполнять следующее для всех пользователей:
• Добавление пользователей и групп
• Назначение лицензий
• Управление свойствами большинства пользователей
• Создание пользовательских представлений и управление ими
• Обновление политик истечения срока действия паролей
• Управление запросами на обслуживание
• Мониторинг работоспособности служб

Администратор пользователей также может выполнять указанные ниже действия для пользователей, не являющихся администраторами, и пользователей со следующими ролями: читатель каталога, приглашающий гостей, администратор службы поддержки, читатель Центра сообщений и читатель отчетов:
• Управление именами пользователей
• Удаление и восстановление пользователей
• Сброс паролей
• Принудительное выход пользователей
• Обновление ключей устройства (FIDO)
Диспетчер успешных операций с пользовательским интерфейсом Назначьте роль диспетчера успешности взаимодействия с пользователями, которым требуется доступ к Аналитике опыта, оценке внедрения и Центру сообщений в Центр администрирования Microsoft 365. Эта роль включает разрешения для роли читателя сводных отчетов об использовании.

Разрешения на основе роли Администратор и типа группы на странице Администратор M365

роль Администратор M365 Группы Группы безопасности Динамические группы рассылки Группы безопасности с поддержкой почты
Глобальный администратор Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Глобальный читатель Чтение Чтение Чтение Чтение
Администратор пользователей Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление Чтение Чтение
Администратор Exchange Создание, чтение, обновление, удаление Чтение, обновление — только группы, которые они владеют, Delete — только группы, владеемые им Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Администратор Teams Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление — только группы, принадлежащие им Чтение Чтение
Администратор SharePoint Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление и удаление групп, которые они владеют Чтение Чтение
Администратор выставления счетов Чтение Чтение Чтение Чтение
Администратор Skype Чтение Чтение Чтение Чтение
Администратор служб Чтение Чтение Чтение Чтение
Администратор группы Create, Read, Update, Delete, Can't update EXO properties Создание, чтение, обновление, удаление Чтение Чтение

Делегированное администрирование для партнеров Майкрософт

Если вы работаете с партнерами Майкрософт, им можно назначать роли администратора. Они, в свою очередь, могут назначать роли администраторов пользователям в вашей или в своей организации. Вы можете назначить роли администратора партнерам, если они настраивают и управляют вашей интернет-организацией за вас.

Роли, которые может назначить партнер:

  • Агент по администрированию. Привилегии, эквивалентные правам глобального администратора, за исключением управления многофакторной проверкой подлинности через Центр партнеров.

  • Агент службы технической поддержки. Привилегии, эквивалентные правам администратора службы поддержки.

Чтобы партнер мог назначать эти роли пользователям, его требуется добавить в свою учетную запись в качестве делегированного администратора. Партнер должен быть полномочным партнером. отправив вам сообщение с просьбой предоставить ему полномочия делегированного администратора. Инструкции см. в статье Авторизация и удаление взаимоотношений с партнерами.

Роли корпоративного лицензирования

Разрешения на сведения о корпоративном лицензировании в Центр администрирования Microsoft 365 контролируются администраторами соглашения VL в Центре обслуживания корпоративного лицензирования (VLSC), даже для ролей VL, которые преимущественно используют функции в Центр администрирования Microsoft 365, а не VLSC.

  • Некоторые функции корпоративного лицензирования (VL) теперь доступны в Центр администрирования Microsoft 365 в новой колонке корпоративного лицензирования, доступной только пользователям корпоративного лицензирования.

  • Пользователи корпоративного лицензирования не видят других Центр администрирования Microsoft 365 сведений или функций.

  • Центр администрирования Microsoft 365 глобальные администраторы не имеют роли в назначении разрешений пользователей VL и не должны назначать разрешения администратора пользователям VL, чтобы они видели колонку корпоративного лицензирования.

  • Пользователи корпоративного лицензирования должны сначала зарегистрироваться в Центре обслуживания корпоративного лицензирования (VLSC), где управляются все роли и разрешения для функций корпоративного лицензирования.

  • Дополнительные сведения о корпоративном лицензировании в Центр администрирования Microsoft 365 см. в статье Часто задаваемые вопросы о Центре обслуживания корпоративного лицензирования или обратитесь в группу служб корпоративного лицензирования.

Назначение ролей администратора (статья)
Microsoft Entra роли в Центр администрирования Microsoft 365 (статья)
Отчеты об активности в Центре администрирования Microsoft 365 (статья)
Роль администратора Exchange Online (статья)