Om administratorroller i Microsoft 365 Administration

Microsoft 365- eller Office 365-abonnementet fås med et sæt administratorroller, som du kan tildele til brugere i organisationen ved hjælp af Microsoft 365 Administration. De enkelte administratorroller relaterer til almindelige forretningsfunktioner og giver personer tilladelse til at udføre bestemte opgaver i Administrationerne.

Med Microsoft 365 Administration kan du administrere Azure AD-roller og Microsoft Intune-roller. Disse roller er dog et undersæt af de roller, der er tilgængelige i Azure AD-portalen og Intune Administration.

Tip

Hvis du har brug for hjælp til trinnene i dette emne, kan du overveje at arbejde med en Microsoft Small Business-specialist. Med Business Assist har du og dine medarbejdere adgang til specialister i små virksomheder døgnet rundt, efterhånden som du får din virksomhed til at vokse, lige fra onboarding til hverdagsbrug.

Se: Hvad er en administrator?

  1. Vælg Appstarteren, mens du er logget på Microsoft 365. Hvis du kan se administratorknappen, er du administrator.
  2. Vælg Administrator for at gå til Microsoft 365 Administration.
  3. I venstre navigationsrude skal du vælge Brugere > Aktive brugere.
  4. Vælg den person, du vil gøre til administrator. Brugerens oplysninger vises i højre dialogboks.

Før du begynder

Leder du efter den komplette liste over detaljerede beskrivelser af Azure AD-roller, som du kan administrere i Microsoft 365 Administration? Se nærmere på administratorrolletilladelser i Azure Active Directory. Indbyggede Azure AD-roller.

Leder du efter den komplette liste over detaljerede beskrivelser af Intune-roller, som du kan administrere i Microsoft 365 Administration? Se nærmere på rollebaseret adgangskontrol med Microsoft Intune.

Du kan få mere at vide om tildeling af roller i Microsoft 365 Administration under Tildel administratorroller.

Sikkerhedsretningslinjer for tildeling af roller

Da administratorer har adgang til følsomme data og filer, anbefaler vi, at du følger disse retningslinjer for at holde din organisations data mere sikre.

Anbefaling Hvorfor er dette vigtigt?
Du bør have 2 til 4 globale administratorer Da det kun er en anden global administrator, der kan nulstille en global administrators adgangskode, anbefaler vi, at du har mindst 2 globale administratorer i din organisation i tilfælde af kontospærring. Men den globale administrator har næsten ubegrænset adgang til din organisations indstillinger og de fleste af dataene, så vi anbefaler også, at du ikke har mere end 4 globale administratorer, fordi det kan udgøre en sikkerhedsrisiko.
Tildel rollen mindst tilladende Tildeling af den mindst tilladende rolle betyder, at administratorer kun får den adgang, de skal bruge for at få arbejdet udført. Hvis du f.eks. vil have nogen til at nulstille medarbejderadgangskoder, bør du ikke tildele den ubegrænsede globale administratorrolle, du bør tildele en begrænset administratorrolle, f.eks. adgangskodeadministrator eller helpdeskadministrator. Dette hjælper med at beskytte dine data.
Kræv multifaktorgodkendelse for administratorer Det er faktisk en god ide at kræve multifaktorgodkendelse for alle dine brugere, men administratorer bør være påkrævet at skulle bruge multifaktorgodkendelse til at logge på. Multifaktorgodkendelse får brugerne til at angive en anden identifikationsmetode for at bekræfte, at de er den, de udgiver sig for. Administratorer kan få adgang til meget kunde- og medarbejderdata, og hvis du kræver multifaktorgodkendelse, selvom administratorens adgangskode bliver kompromitteret, er adgangskoden ubrugelig uden den anden form for identifikation.

Når du slår multifaktorgodkendelse til, skal brugeren angive en alternativ mailadresse og et alternativt telefonnummer til genoprettelse af kontoen, næste gang brugeren logger på.
Konfigurer multifaktorgodkendelse

Hvis du får en meddelelse i Administration, der fortæller dig, at du ikke har tilladelse til at redigere en indstilling eller side, skyldes det, at du er tildelt en rolle, der ikke har denne tilladelse.

Ofte anvendte Microsoft 365 Administration roller

I Microsoft 365 Administration kan du gå til Rolletildelingerog vælg derefter en hvilken som helst rolle for at åbne dens oplysningsrude. Vælg fanen Tilladelser for at få vist en detaljeret liste over, hvad administratorer, der er tildelt rollen, har tilladelser til at gøre. Vælg fanen Tildelte eller Tildelte administratorer for at føje brugere til roller.

Du skal sandsynligvis kun tildele følgende roller i din organisation. Som standard viser vi først roller, som de fleste organisationer bruger. Hvis du ikke kan finde en rolle, skal du gå til bunden af listen og vælge Vis alle efter kategori. (Du kan finde detaljerede oplysninger, herunder de cmdlet'er, der er knyttet til en rolle, i Indbyggede Azure AD-roller.)

Administratorrolle Hvem skal have tildelt denne rolle?
Faktureringsadministrator Tildel rollen Faktureringsadministrator til brugere, der foretager køb, administrerer abonnementer og serviceanmodninger og overvåger tjenestetilstanden.

Faktureringsadministratorer kan også:
– Administrere alle aspekter af fakturering
– Oprette og administrere supportanmodninger på Azure-portalen
Exchange-administrator Tildel Exchange-administratorrollen til brugere, der har brug for at få vist og administrere din brugers postkasser, Microsoft 365 grupper og Exchange Online.

Exchange-administratorer kan også:
– Gendanne slettede elementer i en brugers postkasse
– Konfigurere "Send som"- og "Send på vegne af"-stedfortrædere
Global administrator Tildel rollen Global administrator til brugere, der har brug for global adgang til de fleste administrationsfunktioner og data på tværs af Microsofts onlinetjenester.

Det kan udgøre en sikkerhedsrisiko at give for mange brugere global adgang, og vi anbefaler, at du har mellem 2 og 4 globale administratorer.

Det er udelukkende globale administratorer, der kan:
– Nulstille alle brugeres adgangskoder
– Tilføje og administrere domæner
– Fjerne blokeringen af en anden global administrator

Bemærk! Den person, der tilmeldte sig Microsoft onlinetjenester, bliver automatisk global administrator.
Global læser Tildel rollen global læser til brugere, der har brug for at få vist administratorfunktioner og -indstillinger i Administration, som den globale administrator kan få vist. Den globale læseradministrator kan ikke redigere nogen indstillinger.
Gruppeadministrator Tildel rollen Gruppeadministrator til brugere, der skal administrere alle gruppeindstillinger på tværs af administrationer, herunder Microsoft 365 Administration og Azure Active Directory-portalen.

Gruppeadministratorer kan:
– Oprette, redigere, slette og gendanne Microsoft 365-grupper
– Oprette og opdatere politikker for oprettelse, udløb og navngivning af grupper
– Oprette, redigere, slette og gendanne Azure Active Directory-sikkerhedsgrupper
Helpdesk-administrator Tildel rollen Helpdesk-administrator til brugere, der har brug for at kunne udføre følgende:
– Nulstille adgangskoder
– Gennemtvinge, at brugerne logger af
– Administrere tjenesteanmodninger
– Overvåge tjenestetilstand

Bemærk! Helpdesk-administratoren kan kun hjælpe brugere, der ikke er administratorer, og brugere, der har fået tildelt disse roller: Mappelæser, Gæsteinviterer, Helpdesk-administrator, Meddelelsescenter-læser og Rapportlæser.
Licensadministrator Tildel rollen Licensadministrator til brugere, der skal tildele og fjerne licenser fra brugere, og redigere deres brugsplacering.

Licensadministratorer kan også:
– Foretage genbehandling af licens tildelinger for gruppebaseret licensering
– Tildele produktlicenser til grupper for gruppebaseret licensering
Administrator af Office-apps Tildel rollen som Administrator af Office-apps til brugere, der har brug for at kunne udføre følgende:
– Bruge Office-skypolitiktjenesten til at oprette og administrere skybaserede politikker til Office
– Oprette og administrere serviceanmodninger
– Administrere indholdet af Nyheder, som brugerne får vist i deres Office-apps
– Overvåge tjenestetilstand
Adgangskodeadministrator Tildel rollen Adgangskodeadministrator til en bruger, der skal kunne nulstille adgangskoder for ikke-administratorer og adgangskodeadministratorer.
Meddelelsescenter-læser Tildel rollen som Meddelelsescenter-læser til brugere, der har brug for at kunne udføre følgende:
– Overvåge meddelelser i meddelelsescenteret
– Få ugentlige mailoversigter over indlæg og opdateringer i meddelelsescenteret
– Dele indlæg i meddelelsescenter
– Have skrivebeskyttet adgang til Azure AD-tjenester, f.eks. brugere og grupper
Administrator af Power Platform Tildel rollen som Administrator af Power Platform til brugere, der har brug for at kunne udføre følgende:
– Administrer alle administratorfunktioner til Power Apps, Power Automate og Microsoft Purview-forebyggelse af datatab
– Oprette og administrere serviceanmodninger
– Overvåge tjenestetilstand
Rapportlæser Tildel rollen som Rapportlæser til brugere, der har brug for at kunne udføre følgende:
– Få vist brugsdata og aktivitetsrapporter i Microsoft 365 Administration
– Få adgang til indholdspakken til ibrugtagning af Power BI
– Få adgang til logonrapporter og -aktivitet i Azure AD
– Få vist data, der returneres af Microsoft Graph-rapporterings API
Administrator af tjenestesupport Tildel rollen Administrator af tjenestesupport som en ekstra rolle til administratorer eller brugere, der har brug for at kunne udføre følgende ud over deres sædvanlige administratorrolle:
– Åbne og administrere serviceanmodninger
– Få vist og dele indlæg i meddelelsescenter
– Overvåge tjenestetilstand
SharePoint-administrator Tildel rollen SharePoint-administrator til brugere, der skal have adgang til og administrere SharePoint Online Administration.

SharePoint-administratorer kan også:
– Oprette og slette websteder
– Administrere grupper af websteder og globale SharePoint-indstillinger
Administrator af Teams Tildel rollen Administrator af Teams til brugere, der har brug for at få adgang til og administrere Teams Administration.

Administrator af Teams kan også:
– Administrere møder
– Administrere mødebroer
– Administrere alle indstillinger for hele organisationen, herunder sammenslutning, teams-opgradering og teams-klientindstillinger
Brugeradministrator Tildel rollen Brugeradministrator til brugere, der har brug for at kunne udføre følgende:
– Tilføje brugere og grupper
– Tildele licenser
– Administrere de fleste brugeres egenskaber
– Oprette og administrere brugervisninger
– Opdatere politikker for udløb af adgangskode
– Administrere tjenesteanmodninger
– Overvåge tjenestetilstand

Brugeradministratoren kan også udføre følgende handlinger for brugere, der ikke er administratorer, og for brugere, der er tildelt følgende roller: Mappelæser, Gæsteinviterer, Helpdesk-administrator, Meddelelsescenter-læser og Rapportlæser:
– Administrere brugernavne
– Slette og gendanne brugere
– Nulstille adgangskoder
– Gennemtvinge, at brugerne logger af
– Opdatere (FIDO) enhedsnøgler

Stedfortræderadministration til Microsoft-partnere

Hvis du arbejder med en Microsoft-partner, kan du tildele vedkommende administratorroller. Så kan vedkommende tildele brugere i din virksomhed eller sin egen virksomhed administratorroller. Det kan du eksempelvis gøre brug af, hvis de konfigurerer og administrerer din online-organisation for dig.

En partner kan tildele disse roller:

  • Rettigheder som Administrator-agent, der svarer til en global administrator, med undtagelse af administration af multifaktorgodkendelse via Partnercenter.

  • Rettigheder som Helpdesk-agent, der svarer til en helpdesk-administrator.

Før partneren kan tildele disse roller til brugere, skal du føje partneren til din konto, som delegeret administrator. Denne proces startes af en autoriseret partner. Partneren sender dig en mail for at spørge dig, om du vil give vedkommende tilladelse til at fungere som delegeret administrator. Du kan finde en vejledning under Godkend eller fjern partnerrelationer.

Tildel administratorroller (artikel)
Azure AD-roller i Microsoft 365 Administration (artikel)
Aktivitetsrapporter i Microsoft 365 Administration (artikel)
Exchange Online-administratorrolle (artikel)