À propos des rôles d’administrateur

L’abonnement Microsoft 365 ou Office 365 inclut un ensemble de rôles d'administrateur que vous pouvez attribuer à des utilisateurs de votre organisation à l’aide du Centre d’administration Microsoft 365. Chaque rôle d'administrateur correspond à des fonctions d'entreprise courantes et donne aux personnes de votre organisation des autorisations pour effectuer des tâches spécifiques dans les Centres d'administration.

Le Centre d’administration Microsoft 365 vous permet de gérer les rôles Azure AD et Microsoft Intune. Toutefois, ces rôles sont un sous-ensemble des rôles disponibles sur le Portail Azure AD et le Centre d’administration Intune.

Regardez : qu’est-ce qu’un administrateur ?

  1. Lorsque vous êtes connecté à Microsoft 365, sélectionnez le lanceur d’applications. Si le bouton Administrateur s’affiche, cela signifie que vous êtes un administrateur.
  2. Sélectionnez Administrateur pour accéder au Centre d'administration Microsoft 365.
  3. Dans le volet de navigation de gauche, sélectionnez Utilisateurs > Utilisateurs actifs.
  4. Sélectionnez la personne qui doit être administrateur. Les détails de l’utilisateur s’affichent dans la boîte de dialogue de droite.

Avant de commencer

Vous recherchez la liste complète des descriptions de rôle Azure AD détaillées que vous pouvez gérer dans le centre d’administration Microsoft 365? Consultez la page Autorisations des rôles d’administrateur dans Azure Active Directory. Rôles intégrés Azure AD.

Vous recherchez la liste complète des descriptions de rôle Intune détaillées que vous pouvez gérer dans le centre d’administration Microsoft 365? Consultez la page Contrôle d’accès basé sur un rôle dans Microsoft Intune.

Si vous souhaitez en savoir plus sur l’attribution de rôles dans le Centre d’administration Microsoft 365, consultez la page Attribuer des rôles d’administrateur.

Directives de sécurité pour l'attribution des rôles

Étant donné que les administrateurs ont accès à des fichiers et données sensibles, nous vous recommandons de suivre ces instructions afin de renforcer la sécurité des données au sein de votre organisation.

Recommandation Pourquoi est-ce important ?
Avoir de deux à quatre administrateurs généraux Dans la mesure où seul un autre administrateur général peut réinitialiser le mot de passe d’un administrateur général, nous vous recommandons d’avoir au moins deux administrateurs généraux dans votre organisation en cas de verrouillage de compte. Cependant, il faut note que l’administrateur général dispose d’un accès quasi illimité aux paramètres de votre organisation et à la plupart des données. Nous vous recommandons donc également de ne pas avoir plus de 4 administrateurs généraux, car il s’agit d’une menace du point de vue de la sécurité.
Attribuer le rôle le moins permissif L’attribution du rôle le moins permissif signifie que vous ne donnez aux administrateurs qu'un rôle d'accès à ce dont ils ont besoin pour accomplir leurs tâches. Par exemple, si vous voulez qu’une personne réinitialise les mots de passe des employés, vous devez attribuer un rôle d’administrateur général limité, tel que administrateur de mots de passe ou administrateur du support technique. Cela vous permet de sécuriser vos données.
Exiger une authentification multifacteur pour les administrateurs Il est recommandé d’exiger l’authentification multifacteur (MFA) pour l’ensemble de vos utilisateurs, et les administrateurs devraient clairement être obligés d’utiliser l’authentification multifacteur pour se connecter. L’authentification multifacteur demande aux utilisateurs d’entrer une deuxième méthode d’identification pour vérifier leur identité. Les administrateurs peuvent avoir accès à un grand nombre de données sur les clients et les employés. Si vous exigez une authentification multifacteur, le mot de passe est inutilisable sans la deuxième forme d’identification, même si le mot de passe administrateur est compromis.

Lorsque vous activez l’authentification multifacteur, lors de la connexion suivante de l'utilisateur, il doit fournir une adresse de messagerie alternative et un numéro de téléphone pour la récupération de compte.
Configurer l’authentification multifacteur

Si vous recevez un message dans le centre d’administration vous indiquant que vous n’êtes pas autorisé à modifier un paramètre ou une page, cela signifie que le rôle attribué ne dispose pas de cette autorisation.

Rôles communément utilisés dans le centre d’administration 365 Microsoft

Dans le centre d'administration de Microsoft 365, vous pouvez accéder aux affectations de rôles, puis sélectionner un rôle pour ouvrir son volet détaillé. Sélectionnez l’onglet Autorisations pour afficher la liste détaillée des autorisations attribuées à ce rôle d'administrateur. Sélectionnez l’onglet Attribué ou Administrateurs affectés pour ajouter des utilisateurs aux rôles.

Vous devrez probablement attribuer les rôles suivants au sein de votre organisation. Par défaut, les rôles les plus utilisés par les organisations s'affichent en premier. Si le rôle recherché est introuvable, accédez au bas de la liste et sélectionnez Afficher tout par catégorie. (pour plus d’informations, notamment sur les applets de commande associées à un rôle, voir les Autorisations de rôle d'administrateur dans Azure Active Directory).

Rôle d’administrateur À qui doit être affecté ce rôle ?
Administrateur de facturation Affectez aux utilisateurs un administrateur de facturation qui peut effectuer des achats, gérer des demandes d’abonnement et de services et surveiller l’intégrité des services.

Les administrateurs de facturation peuvent également :
– Gérer tous les aspects de la facturation
– Créer et gérer des tickets au support dans le Portail Azure
Administrateur Exchange Attribuez le rôle d’administrateur Exchange aux utilisateurs qui doivent afficher et gérer les boîtes aux lettres de messagerie de vos utilisateurs, les groupes Microsoft 365 et Exchange Online.

Les administrateurs Exchange peuvent aussi :
– Récupérer des éléments supprimés dans la boîte aux lettres d’un utilisateur
– Configurer les délégués « Envoyer en tant que » et « Envoyer de la part de »
Administrateur global Attribuez le rôle d’administrateur général aux utilisateurs qui doivent avoir un accès global à la plupart des fonctionnalités de gestion et des données dans les services Microsoft Online.

Le fait de donner un accès global à un grand nombre d’utilisateurs représente un risque pour la sécurité et nous vous recommandons de n’avoir que 2 à 4 administrateurs généraux.

Seuls les administrateurs généraux peuvent :
– Réinitialiser les mots de passe pour l'ensemble des utilisateurs
– Ajouter et gérer des domaines

Remarque : la personne qui s’est inscrite aux services Microsoft Online devient automatiquement un administrateur général.
Lecteur général Attribuez le rôle de lecteur global aux utilisateurs qui doivent afficher les fonctionnalités et paramètres d’administration dans des centres d’administration que l’administrateur général peut afficher. Un administrateur lecteur global n'est pas autorisé à modifier des paramètres.
Administrateur de groupes Attribuez le rôle d’administrateur de groupes aux utilisateurs qui doivent gérer tous les paramètres de groupes dans les centres d’administration, y compris le centre d’administration Microsoft 365 et le portail Azure Active Directory.

Les administrateurs de groupe peuvent :
– créer, modifier, supprimer et restaurer les groupes Microsoft 365
– Créer et mettre à jour les stratégies de création, d’expiration et de désignation de groupes
– Créer, modifier, supprimer et restaurer des groupes de sécurité Azure Active Directory
Administrateur du support technique Attribuez le rôle d’administrateur du support technique aux utilisateurs qui doivent effectuer les opérations suivantes :
– Réinitialiser des mots de passe
– Forcer les utilisateurs à se déconnecter
– Gérer des demandes de service
– Surveiller l’état d’intégrité des services

Remarque: l’administrateur du support technique peut uniquement aider des utilisateurs sans rôle d'administrateur et les utilisateurs ayant ces rôles : lecteur d’annuaire, invités hôtes, administrateur du support technique, lecteur de centre de messages et lecteur de rapports.
Administrateur de licences Affectez le rôle d’administrateur de licences aux utilisateurs qui doivent attribuer et supprimer des licences d’utilisateurs et modifier leur localisation d’utilisation.

Les administrateurs de licences peuvent également :
– Retraiter les affectations de licences pour les licences basées sur des groupes
– Affecter des licences produit aux groupes pour les licences basées sur des groupes
Administrateur d'applications Office Attribuez le rôle d’administrateur d'applications Office aux utilisateurs qui doivent effectuer les opérations suivantes :
– Utiliser le service de stratégie cloud Office pour créer et gérer des stratégies basées sur le cloud pour Office
– Créer et gérer des demandes de service
– Gérer le contenu des nouveautés que les utilisateurs peuvent afficher dans les applications Office
– Surveiller l’état d’intégrité des services
Administrateur de mots de passe Affectez le rôle d'administrateur de mots de passe à un utilisateur qui doit réinitialiser des mots de passe pour les non administrateurs et les administrateurs de mots de passe.
Lecteur du Centre de messages Attribuez le rôle de Lecteur de Centre de messages aux utilisateurs qui doivent effectuer les opérations suivantes :
– Surveiller les notifications du Centre de Messages
– Recevoir les résumés hebdomadaires de courrier sur les mises à jour et des publications du Centre de messages
– Partager des billets du Centre de messages
– Avoir un accès en lecture seule aux services Azure AD, tels que des utilisateurs et des groupes
Administrateur Power Platform Attribuez le rôle d’administrateur de Power Platform aux utilisateurs qui doivent effectuer les opérations suivantes :
– Gérer toutes les fonctionnalités d’administrateur des applications Power, Power Automate, et la protection contre la perte de données
– Créer et gérer des demandes de service
– Surveiller l’état d’intégrité des services
Lecteur de rapports Attribuez le rôle de Lecteur de rapports aux utilisateurs qui doivent effectuer les opérations suivantes :
– Afficher les données d’utilisation et les rapports d’activité dans le Centre d’administration Microsoft 365
– Avoir accès au pack de contenu d’adoption de Power BI
– Avoir accès au rapports de connexion et d’activité dans Azure AD
– Afficher les données renvoyées par l’API de compte-rendu Microsoft Graph
Administrateur de support de service Affectez le rôle d’administrateur de support de service en tant que rôle supplémentaire aux administrateurs ou aux utilisateurs qui doivent effectuer ce qui suit en complément de leur rôle d’administrateur habituel :
– Ouvrir et gérer des demandes de service
– Afficher et partager des billets du centre de messages
– Surveiller l’état d’intégrité des services
Administrateur SharePoint Attribuez le rôle d’administrateur SharePoint aux utilisateurs qui doivent accéder et gérer le centre d’administration SharePoint Online.

Les administrateurs SharePoint peuvent également :
– Créer et supprimer des sites
– Gérer les collections de sites et les paramètres globaux de SharePoint
Administrateur de Teams Attribuez le rôle d’administrateur Teams aux utilisateurs qui doivent accéder et gérer le centre d’administration Teams.

Les administrateurs Teams peuvent également :
– Gérer des réunions
– Gérer les ponts de conférence
– Gérer tous les paramètres à l’échelle de l’organisation, notamment la fédération, la mise à jour de Teams et les paramètres du client Teams
Administrateur d’utilisateurs Attribuez le rôle d’administrateur d'utilisateurs aux ceux qui doivent effectuer les opérations suivantes pour l'ensemble des utilisateurs :
– Ajouter des utilisateurs et des groupes
– Attribuer des licences
– Gérer la plupart des propriétés des utilisateurs
– Créer et gérer les affichages utilisateur
– Mettre à jour les stratégies d’expiration des mots de passe
– Gérer des demandes de service
– Surveiller l’état d’intégrité des services

L’administrateur d’utilisateurs peut également effectuer les actions suivantes pour les utilisateurs qui ne sont pas administrateurs et pour ceux auxquels les rôles suivants sont attribués : lecteur de répertoire, inviteur d'invités, administrateur du support technique, lecteur du centre de messages, lecteur de rapports :
– Gérer les noms d’utilisateur
– Supprimer et restaurer des d’utilisateurs
– Réinitialiser des mots de passe
– Forcer les utilisateurs à se déconnecter
– Mettre à jour les clés d'appareils (FIDO)

Administration déléguée pour les partenaires Microsoft

Si vous travaillez avec un partenaire Microsoft, vous pouvez lui attribuer des rôles d'administrateur. Il peut à son tour attribuer des rôles d'administrateur aux utilisateurs de votre entreprise ou de la sienne. Par exemple, vous souhaiterez peut-être qu'il le fasse s'il est chargé de configurer et gérer votre organisation en ligne pour vous.

Un partenaire peut attribuer ces rôles :

  • Agent d’administration, dont les privilèges sont équivalents à ceux d’un administrateur général, sauf en matière de gestion de l’authentification multifacteur via l'Espace partenaires.

  • Agent de support technique, dont les privilèges sont équivalents à ceux d’un administrateur du support technique.

Pour que le partenaire puisse attribuer ces rôles aux utilisateurs, vous devez l'ajouter en tant qu'administrateur délégué à votre compte. Ce processus est initié par un partenaire agréé. Le partenaire vous envoie un e-mail pour vous demander l'autorisation d'agir en tant qu'administrateur délégué. Pour consulter des instructions, voir Autoriser ou supprimer des relations de partenariat.

Attribuer des rôles administrateur (article)
Les rôles Azure AD dans le Centre d’administration Microsoft 365 (article)
Rapports d’activité dans le Centre d’administration Microsoft 365 (article)
Rôle d’administrateur Exchange Online (article)