Сведения о ролях администратора в Центр администрирования Microsoft 365

Ознакомьтесь со справкой по Microsoft 365 для малого бизнеса на YouTube. Эти ресурсы особенно полезны для администраторов малого бизнеса, которые не знакомы с Microsoft 365.

Для выполнения таких задач, как добавление пользователей, назначение лицензий или настройка служб, требуется роль администратора в Microsoft 365 для бизнеса. Ваша подписка на Microsoft 365 или Office 365 включает набор ролей администратора, которые можно назначить в Центр администрирования Microsoft 365. Каждая роль администратора соответствует общим бизнес-функциям и позволяет сотрудникам вашей организации выполнять определенные задачи в центрах администрирования. В этой статье приводятся общие сведения о ролях администратора, рекомендациях по безопасности и ссылках на связанное содержимое.

Видео. Кто такой администратор?

Ознакомьтесь с этим и другими видео на нашем YouTube-канале.

  1. Перейдите к Центр администрирования Microsoft 365 и войдите в систему. Если вы можете получить доступ к Центр администрирования Microsoft 365, вы являетесь администратором и можете перейти к следующему шагу.

  2. В области навигации слева выберите Пользователи>Активные пользователи. (Или перейдите непосредственно на страницу Активные пользователи.)

  3. Выберите учетную запись пользователя, которого вы хотите сделать администратором. Сведения о пользователе отображаются в правом диалоговом окне.

Подготовка к работе

Центр администрирования Microsoft 365 позволяет управлять ролями Microsoft Entra и ролями Microsoft Intune. Однако эти роли являются подмножеством ролей, доступных в Центр администрирования Microsoft Entra и Центре администрирования Microsoft Intune.

Подробнее о назначении ролей в центре администрирования Microsoft 365 см. статью Назначение ролей администратора.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями и ограничить количество пользователей, имеющих административные разрешения. См. раздел Минимальные привилегированные роли по задачам в Microsoft Entra ID.

Рекомендации по обеспечению безопасности при назначении ролей

Так как администраторы имеют доступ к конфиденциальные данные и файлам, следуйте этим рекомендациям, чтобы обеспечить безопасность данных вашей организации.

Рекомендация Почему это важно
Иметь как можно меньше глобальных администраторов Глобальные администраторы имеют практически неограниченный доступ к параметрам вашей организации и большей части ее данных. Максимально ограничьте число глобальных администраторов. Глобальный администратор может случайно заблокировать свою учетную запись и потребовать сброса пароля. Другой глобальный администратор или администратор привилегированной проверки подлинности может сбросить пароль глобального администратора. Таким образом, у вас есть по крайней мере администратор привилегированной проверки подлинности на случай, если глобальный администратор заблокирован в своей учетной записи.
Назначайте роль с минимальными разрешениями Назначение наименее разрешительной роли означает предоставление администраторам только доступа, необходимого для выполнения задания. Например, если вы хотите, чтобы кто-то сбросил пароли пользователей, не назначайте неограниченную роль глобального администратора. Вместо этого назначьте ограниченную роль администратора, например администратор паролей или администратор службы поддержки. См. раздел Минимальные привилегированные роли по задачам в Microsoft Entra ID.
Требовать многофакторную проверку подлинности (MFA) для администраторов Требовать MFA для всех пользователей, особенно администраторов. MFA заставляет пользователей использовать второй метод идентификации для проверки своей личности. Администраторы могут получать доступ к данным пользователей, таким как их имя, адрес электронной почты, расположение и т. д. Если требуется MFA, даже если пароль администратора скомпрометирован, одного пароля недостаточно для входа без другого метода идентификации.

При включении MFA при следующем входе пользователя необходимо указать альтернативный адрес электронной почты и номер телефона для восстановления учетной записи.
Настройка многофакторной проверки подлинности

Если в Центр администрирования Microsoft 365 показано, что у вас нет разрешения на изменение параметра или страницы, это связано с тем, что вам назначена роль, которая не имеет этого разрешения. В этом случае выполните одно или несколько из следующих действий:

Часто используемые роли Центра администрирования Microsoft 365

Чтобы просмотреть роли администратора, выполните следующие действия.

  1. В Центр администрирования Microsoft 365 перейдите в раздел Назначения ролей.

  2. Выберите любую роль, чтобы открыть ее область сведений.

  3. Перейдите на вкладку Разрешения , чтобы просмотреть подробный список действий администраторов, которым назначена эта роль.

  4. Чтобы добавить пользователей в роли, выберите Назначенные или Назначенные администраторы.

    Чтобы просмотреть полный список ролей, перейдите в нижнюю часть списка и выберите Показать все по категориям. Подробные сведения, включая командлеты, связанные с ролью, см. в разделе Microsoft Entra встроенных ролей.

Роли администратора и кто должен быть назначен

В следующей таблице перечислены роли администратора и сведения о том, кому следует назначать эти роли. Полный список ролей см. на странице Microsoft Entra встроенных ролей.

Административная роль Кому следует назначить эту роль?
Администратор ИИ Эта роль обеспечивает Администрирование на уровне ИИ и агента, но не предоставляет широкого администрирования рабочей нагрузки Microsoft 365 на уровне клиента.

Назначьте роль администратора ИИ пользователям, которым необходимо выполнить следующие задачи:
  • Управление всеми аспектами Microsoft 365 Copilot
  • Управление корпоративными службами, расширяемостью и агентами Copilot, связанными с ИИ, на странице Интегрированные приложения в Центр администрирования Microsoft 365
  • Управление экземплярами агентов и удостоверениями агентов с помощью доступных функций администратора, таких как отправка, публикация, установка, активация, блокировка или разблокировка агентов, где это поддерживается.
  • Предоставление согласия на уровне клиента для приложений и агентов, запрашивающих разрешения, кроме разрешений приложений Microsoft Graph. Приложениям или агентам, которым требуются разрешения приложений Microsoft Graph, по-прежнему требуется утверждение глобального администратора.
  • Просмотр отчетов об использовании, аналитических сведений об внедрении и организационных сведений
  • Просмотр основных свойств подписки
  • Просмотр агентов, помеченных как рискованные в защите идентификации для агентов
  • Разрешить пользователям устанавливать приложение или устанавливать приложение для пользователей в организации, если приложению не требуется разрешение
  • Чтение и настройка панелей мониторинга работоспособности служб Microsoft Azure и Microsoft 365
  • Создание запросов на поддержку и управление ими в портал Azure Майкрософт и Центр администрирования Microsoft 365
Администратор ИИ не управляет лицензированием пользователей или сеансами входа пользователей. Для некоторых сценариев с высоким уровнем привилегий или согласия (например, для некоторых разрешений приложений Microsoft Graph) может по-прежнему требоваться глобальный администратор или администратор привилегированных ролей.
Средство чтения ИИ Эта роль предназначена для видимости, мониторинга и создания отчетов, но не для администрирования. Назначьте роль читателя ИИ пользователям, которым нужно просматривать функции и параметры в центрах администрирования, которые может просматривать администратор ИИ.

Средство чтения ИИ не может изменять параметры.

Назначьте роль читателя ИИ пользователям, которым необходимо выполнить следующие задачи:
  • Чтение всех аспектов Microsoft 365 Copilot
  • Чтение всех свойств удостоверений агента, субъектов схемы удостоверений агента и схем удостоверений агента
  • Чтение и настройка панелей мониторинга работоспособности служб Microsoft Azure и Microsoft 365
  • Просмотр отчетов об использовании, аналитических сведений об внедрении и организационных сведений
Роль читателя ИИ доступна только для чтения и не может создавать, публиковать, утверждать, активировать, деактивировать или изменять агенты. Читатель ИИ не может управлять доступностью агента, разрешениями, политиками, лицензиями, согласием или запросами на поддержку.
Администратор приложений Назначьте роль администратора приложений пользователям, которым необходимо создавать и управлять всеми аспектами корпоративных приложений, регистраций приложений и параметров прокси-сервера приложения.

Пользователи, назначенные этой роли, не добавляются в качестве владельцев при создании новых регистраций приложений или корпоративных приложений. Эта роль также предоставляет возможность предоставления согласия для делегированных разрешений и разрешений приложений, за исключением разрешений приложений для Azure AD Graph и Microsoft Graph.
Администратор выставления счетов Назначьте роль администратора выставления счетов пользователям, которые выполняют покупки, управляют подписками и запросами на обслуживание, а также отслеживают работоспособности служб. Администраторы выставления счетов также могут:
  • Управление всеми аспектами выставления счетов
  • Создание запросов в службу поддержки и управление ими в портал Azure
Администратор Exchange Назначьте роль администратора Exchange пользователям, которым необходимо просматривать почтовые ящики, Группы Microsoft 365 и Exchange Online пользователей и управлять ими. Администраторы Exchange также могут:
  • Восстановление элементов, удаленных из почтового ящика пользователя
  • Настройка делегатов "Отправить как" и "Отправить от имени"
Администратор Структуры Назначьте роль администратора Fabric пользователям, которым необходимо выполнить следующие задачи:
  • Управление всеми функциями администрирования для Microsoft Fabric и Power BI
  • Отчет об использовании и производительности
  • Проверка аудита и управление ими
Глобальный администратор Это привилегированная роль. Глобальные администраторы могут просматривать журналы действий каталога и повышать уровень доступа для управления всеми подписками и группами управления Microsoft Azure. Глобальные администраторы могут получить полный доступ ко всем ресурсам Microsoft Azure с помощью соответствующего клиента Microsoft Entra.

Пользователь, который приобрел подписку для вашей организации и зарегистрировался в Microsoft веб-службы, автоматически становится глобальным администратором. В организации может быть несколько глобальных администраторов.

Пользователи с этой ролью имеют доступ ко всем функциям администрирования в Microsoft Entra ID и службам, используюющим Microsoft Entra удостоверения, таким как портал Microsoft Defender, портал Microsoft Purview, Exchange Online, SharePoint Online и Skype для бизнеса Online.

Глобальные администраторы могут:
  • Сброс паролей для любого пользователя и всех остальных администраторов
  • Управление приобретением подписок и продуктов вашей организации
  • Сброс паролей для всех пользователей
  • Добавление доменов и управление ими
  • Разблокировка другого глобального администратора
Кроме того, только глобальные администраторы могут просматривать подписки, приобретенные у партнера, и управлять ими.

Глобальный администратор не может удалить собственное назначение глобального администратора. Это ограничение предназначено для предотвращения ситуации, когда в организации нет глобальных администраторов.
Глобальное средство чтения Назначьте роль глобального читателя пользователям, которым необходимо выполнить следующие задачи:
  • Просмотр сведений об агентах и агентах в реестре для своего клиента с подробными сведениями о метриках со всеми возможностями метаданных агента
  • Просмотр функций и параметров администратора в центрах администрирования, которые может просматривать глобальный администратор.
Глобальный читатель не может изменять параметры.

Для подписок, приобретенных через партнера, роль глобального читателя недоступна.
Администратор групп Назначьте роль администратора групп пользователям, которым необходимо управлять всеми параметрами групп в центрах администрирования, включая Центр администрирования Microsoft 365 и Центр администрирования Microsoft Entra. Администраторы групп могут:
  • Создание, изменение, удаление и восстановление Группы Microsoft 365
  • Создание и обновление политик создания, истечения срока действия и именования групп
  • Создание, изменение, удаление и восстановление Microsoft Entra групп безопасности
Также см. раздел Управление пользователями, которые могут создавать Группы Microsoft 365.
Администратор службы поддержки Назначьте роль администратора службы технической поддержки пользователям, которым необходимо выполнить следующие задачи:
  • Сброс паролей
  • Принудительное выход пользователей
  • Управление запросами на обслуживание
  • Мониторинг работоспособности службы
Администратор службы технической поддержки может помочь только пользователям, которые не являются администраторами, и пользователям, которым назначены следующие роли: читатель каталога, приглашенный приглашающий, администратор службы технической поддержки, читатель центра сообщений и читатель отчетов.
Администратор лицензий Назначьте роль администратора лицензий пользователям, которым необходимо назначать и удалять лицензии у пользователей, а также изменять расположение их использования. Администраторы лицензий также могут:
  • Повторная обработка назначений лицензий для группового лицензирования
  • Назначение лицензий на продукты группам для группового лицензирования
Средство чтения конфиденциальности Центра сообщений Назначьте роль читателя конфиденциальности Центра сообщений пользователям, которым необходимо читать сообщения о конфиденциальности и безопасности, а также обновления в Центре сообщений Microsoft 365.

Читатели конфиденциальности Центра сообщений могут получать Уведомления по электронной почте, связанные с конфиденциальностью данных, в зависимости от своих предпочтений, и они могут отменить подписку с помощью настроек Центра сообщений.

Только глобальные администраторы и читатели конфиденциальности Центра сообщений могут читать сообщения о конфиденциальности данных.

Эта роль не имеет разрешения на просмотр, создание и управление запросами на обслуживание.

Читатели конфиденциальности Центра сообщений также могут:
  • Мониторинг всех уведомлений в Центре сообщений, включая сообщения о конфиденциальности данных
  • Просмотр групп, доменов и подписок
Читатель центра сообщений Назначьте роль читателя Центра сообщений пользователям, которым необходимо выполнить следующие задачи:
  • Мониторинг уведомлений Центра сообщений
  • Получение еженедельных дайджестов сообщений о публикациях и обновлениях в Центре сообщений
  • Общий доступ к сообщениям в Центре сообщений
  • Доступ только для чтения к Microsoft Entra службам, таким как пользователи и группы
Администратор Microsoft Graph Data Connect Назначьте роль администратора Microsoft Graph Data Connect пользователям, которым необходимо выполнить следующие задачи:
  • Доступ к полному набору административных возможностей Microsoft Graph Data Connect
  • Управление параметрами Microsoft Graph Data Connect в клиенте
  • Включение или отключение службы Microsoft Graph Data Connect
  • Настройка выбора рабочих нагрузок набора данных в Microsoft Graph Data Connect
  • Настройка параметров перемещения данных между клиентами в Microsoft Graph Data Connect
  • Просмотр, утверждение или отклонение запросов на авторизацию приложений для Microsoft Graph Data Connect
  • Просмотр, создание, обновление или удаление регистраций приложений для Microsoft Graph Data Connect
Администратор миграции Назначьте роль администратора миграции Microsoft 365 пользователям, которым необходимо выполнить следующие задачи:
  • Использование диспетчера миграции в Центр администрирования Microsoft 365 для управления миграцией содержимого в Microsoft 365, включая Microsoft Teams, OneDrive и сайты SharePoint, из различных источников, таких как Google Диск, Dropbox и Box.
  • Выбор источников миграции, создание инвентаризации миграции (например, списки пользователей Google Drive), планирование и выполнение миграций, а также скачивание отчетов
  • Создание новых сайтов SharePoint, если целевые сайты еще не существуют, создание списков SharePoint на сайтах администрирования SharePoint, а также создание и обновление элементов в списках SharePoint
  • Управление параметрами проекта миграции и жизненным циклом миграции для задач и управление сопоставлениями разрешений из источника в место назначения.
С помощью этой роли вы можете выполнить миграцию только с Google Drive, Box, Dropbox и Egnyte. Эта роль не позволяет выполнять миграцию из общих папок из центра администрирования SharePoint. Используйте администратора SharePoint для миграции из источников файлового ресурса.
Администратор приложений Office Назначьте роль администратора приложений Office пользователям, которым необходимо выполнить следующие задачи:
  • Используйте службу "Облачная политика" для Microsoft 365 для создания облачных политик и управления ими.
  • Создание запросов на обслуживание и управление ими
  • Управление новым содержимым, которое пользователи видят в своих приложениях в Microsoft 365
  • Мониторинг работоспособности службы
  • Управление параметрами сценариев Office
Утверждающий сообщения организации Назначьте роль утверждающего сообщений организации пользователям, которым необходимо проверить, утвердить или отклонить новые сообщения организации для доставки в Центр администрирования Microsoft 365, прежде чем они будут отправлены пользователям через области продуктов Майкрософт.
Модуль записи сообщений организации Назначьте роль "Автор сообщений организации" пользователям, которым необходимо писать, публиковать, администрировать и просматривать сообщения организации для конечных пользователей с помощью поверхностей продуктов Майкрософт.
Администратор паролей Назначьте роль администратора паролей пользователю, которому необходимо сбросить пароли для пользователей.
Администратор People Назначьте роль администратора People пользователям, которым необходимо выполнить следующие задачи:
  • Обновление фотографий профиля для всех пользователей, включая администраторов
  • Обновление параметров пользователей для всех пользователей (местоимения, произношение имен и параметры профиля карта)
Администратор Power Platform Назначьте роль администратора Power Platform пользователям, которым необходимо выполнить следующие задачи:
  • Управление всеми функциями администрирования для Power Apps, Power Automate, Power BI, Microsoft Fabric и Защита от потери данных Microsoft Purview
  • Создание запросов на обслуживание и управление ими
  • Мониторинг работоспособности службы
Читатель отчетов Назначьте роль читателя отчетов пользователям, которым необходимо выполнить следующие задачи:
  • Просмотр сведений об агентах и агентах в реестре для своего клиента с подробными сведениями о метриках со всеми возможностями метаданных агента
  • Просмотр данных об использовании и отчетов о действиях в Центр администрирования Microsoft 365
  • Получение доступа к пакету содержимого для внедрения Power BI
  • Получите доступ к отчетам о входе и действиям в Microsoft Entra ID
  • Просмотр данных, возвращаемых API отчетов Microsoft Graph
Администратор поиска Назначьте роль администратора поиска пользователям, которым необходимо создавать содержимое результатов поиска и управлять ими, а также определять параметры запроса для улучшения результатов поиска в организации. Администратор поиска управляет конфигурацией поиска Майкрософт и может выполнять все задачи по управлению содержимым, которые может выполнять редактор поиска.
Администратор безопасности Назначьте роль администратора безопасности пользователям, которые управляют элементами управления безопасностью и мониторингом в Microsoft 365.

Эта привилегированная роль обеспечивает доступ к порталам безопасности и соответствия требованиям, а также видимость для чтения агентов в Центр администрирования Microsoft 365 для исследования и оценки рисков без разрешения публикации агента или управления жизненным циклом.
Читатель сведений о безопасности Назначьте роль читателя безопасности пользователям, которым требуется доступ к данным безопасности и аналитическим сведениям мониторинга в Microsoft 365.

Эта привилегированная роль предоставляет доступ к порталам безопасности и соответствия требованиям, включая Microsoft Defender, Microsoft Entra (защита идентификаторов, управление привилегированными пользователями, отчеты о входе и журналы аудита) и Microsoft Purview.

В Центр администрирования Microsoft 365 эта роль обеспечивает доступную только для чтения видимость агентов и метаданных для проверки безопасности и соответствия требованиям, не разрешая публикацию агента или управление жизненным циклом.
Администратор службы поддержки Назначьте роль администратора службы поддержки в качестве другой роли администраторам или пользователям, которым необходимо выполнять следующие задачи в дополнение к обычной роли администратора:
  • Открытие запросов на обслуживание и управление ими
  • Просмотр и предоставление общего доступа к публикациям в Центре сообщений
  • Мониторинг работоспособности службы
Администратор SharePoint Назначьте роль администратора SharePoint пользователям, которым требуется доступ к Центру администрирования SharePoint и управление им. Администраторы SharePoint также могут:
  • Создание и удаление сайтов
  • Управление семействами веб-сайтов и глобальными параметрами SharePoint
Расширенный администратор управления SharePoint Назначьте роль расширенного администратора управления SharePoint пользователям, которым необходимо выполнять следующие типы задач:
  • Использование агента Администратор SharePoint
  • Управление всеми аспектами расширенного управления SharePoint
  • Просмотр имен, путей и URL-адресов файлов, папок, библиотек, документов и списков на сайтах SharePoint без доступа к содержимому файлов или элементов
  • Удаление разрешений для файлов, папок, библиотек, документов и списков на сайтах SharePoint
Администратор Teams Назначьте роль администратора Teams пользователям, которым требуется доступ к Центру администрирования Teams и управление им. Администратор Teams также может:
  • Управление собраниями
  • Управление мостами конференций
  • Управление всеми параметрами всей организации, включая федерацию, обновление команд и параметры клиента teams
Администратор пользователей Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие задачи:
  • Создание, отключение и включение учетных записей пользователей
  • Добавление пользователей или групп
  • Назначение лицензий
  • Управление свойствами большинства пользователей
  • Создание пользовательских представлений и управление ими
  • Обновление политик истечения срока действия паролей
  • Управление запросами на обслуживание
  • Мониторинг работоспособности службы
  • Обновление ключей устройств (FIDO)
  • Просмотрите сводку агентов в клиенте, чтобы получить представление об общих тенденциях использования и внедрения.
Диспетчер успешных операций с пользовательским интерфейсом Назначьте роль диспетчера успешности взаимодействия с пользователем пользователям, которым необходимо выполнить следующие задачи:
  • Доступ к аналитике опыта, оценке внедрения и центру сообщений в Центр администрирования Microsoft 365.
  • Просмотрите сводку агентов в клиенте, чтобы получить представление об общих тенденциях использования и внедрения.
  • Эта роль включает разрешения для роли читателя сводных отчетов об использовании.
Администратор клиента Viva Glint Назначьте роль администратора клиента Viva Glint пользователям, которые управляют приложением Viva Glint. См . раздел Назначение администраторов клиентов и служб Viva Glint.

Также см . раздел Проверка ролей администратора в организации.

Разрешения на основе ролей администратора и типа группы в Центре администрирования Microsoft 365

Администратор Группы Microsoft 365 Группы безопасности Динамические группы рассылки Группы безопасности с поддержкой почты
Глобальный администратор Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Глобальное средство чтения Чтение Чтение Чтение Чтение
Администратор пользователей Создание, чтение, обновление, удаление
(Не удается обновить свойства Exchange Online)		 Создание, чтение, обновление, удаление Чтение Чтение
Администратор Exchange Создание, чтение, обновление, удаление Чтение, обновление (только группы, принадлежащие им), удаление (только группы, принадлежащие им) Создание, чтение, обновление, удаление Создание, чтение, обновление, удаление
Администратор Teams Создание, чтение, обновление, удаление
(Не удается обновить свойства Exchange Online)		 Создание, чтение, обновление, удаление (только группы, принадлежащие им) Чтение Чтение
Администратор SharePoint Создание, чтение, обновление, удаление
(Не удается обновить свойства Exchange Online)		 Создание, чтение, обновление и удаление групп, которые они владеют Чтение Чтение
Администратор выставления счетов Чтение Чтение Чтение Чтение
Администратор службы поддержки Чтение Чтение Чтение Чтение
Администратор групп Создание, чтение, обновление, удаление
(Не удается обновить свойства Exchange Online)		 Создание, чтение, обновление, удаление Чтение Чтение
Администратор ИИ Чтение Чтение Чтение Чтение

Делегированное администрирование для партнеров Майкрософт

Если вы работаете с партнером Майкрософт, вы можете назначить ему роли администратора. Они могут назначать пользователей в вашей компании или их компании, роли администратора. Назначьте роли администратора партнерам, если они настраивают и управляют вашей сетевой организацией за вас.

Роли, которые может назначить партнер:

  • Администратор привилегии агента, эквивалентные глобальному администратору, за исключением управления многофакторной проверкой подлинности через Центр партнеров.
  • Агент службы технической поддержки. Привилегии, эквивалентные правам администратора службы поддержки.

Прежде чем партнер сможет назначать эти роли пользователям, необходимо добавить партнера в качестве делегированного администратора в вашу учетную запись. Партнер должен быть полномочным партнером. Партнер отправляет вам электронное письмо с вопросом, хотите ли вы предоставить ему разрешение на выполнение роли делегированного администратора. Инструкции см. в статье Авторизация и удаление партнерских отношений.

Роли корпоративного лицензирования

Администраторы соглашения корпоративного лицензирования (VL) получают доступ к корпоративным лицензиям в Центр администрирования Microsoft 365.

  • Администраторы VL не имеют разрешений на доступ к другим сведениям или функциям Центра администрирования за пределами раздела VL.
  • Глобальные администраторы не назначают роли VL и не нужно назначать роль администратора администратору VL, чтобы получить доступ к соглашению VL.
  • Глобальные администраторы не имеют доступа к сведениям или функциям VL в Центре администрирования, если администратор VL не назначит им роль VL.

Дополнительные сведения см. в статье Управление ролями пользователей корпоративного лицензирования или обратитесь в службу поддержки корпоративного лицензирования.

Связанные материалы

  • Last updated on