À propos des rôles d’administrateurAbout admin roles

L’abonnement Microsoft 365 ou Office 365 inclut un ensemble de rôles d’administrateur que vous pouvez attribuer aux utilisateurs de votre organisation à l’aide du Centre d’administration Microsoft 365.Microsoft 365 or Office 365 subscription comes with a set of admin roles that you can assign to users in your organization using the Microsoft 365 admin center. Chaque rôle d’administrateur correspond à des fonctions d’entreprise courantes et donne aux personnes concernées dans votre organisation des autorisations pour effectuer des tâches spécifiques dans les centres d’administration.Each admin role maps to common business functions and gives people in your organization permissions to do specific tasks in the admin centers.

Le Centre d’administration Microsoft 365 vous permet de gérer les rôles Azure AD et Microsoft Intune.The Microsoft 365 admin center lets you manage Azure AD roles and Microsoft Intune roles. Toutefois, ces rôles sont un sous-ensemble des rôles disponibles sur le Portail Azure AD et le Centre d’administration Intune.However, these roles are a subset of the roles available in the Azure AD portal and the Intune admin center.

Avant de commencerBefore you begin

Vous recherchez la liste complète des descriptions de rôle Azure AD détaillées que vous pouvez gérer dans le centre d’administration Microsoft 365 ?Looking for the full list of detailed Azure AD role descriptions you can manage in the Microsoft 365 admin center? Consultez la page Autorisations des rôles d’administrateur dans Azure Active Directory.Check out Administrator role permissions in Azure Active Directory. Autorisations des rôles d’administrateur dans Azure Active Directory.Administrator role permissions in Azure Active Directory.

Vous recherchez la liste complète des descriptions de rôle Intune détaillées que vous pouvez gérer dans le centre d’administration Microsoft 365 ?Looking for the full list of detailed Intune role descriptions you can manage in the Microsoft 365 admin center? Consultez la page Contrôle d’accès basé sur un rôle dans Microsoft Intune.Check out Role-based access control (RBAC) with Microsoft Intune.

Si vous souhaitez en savoir plus sur l’attribution de rôles dans le Centre d’administration Microsoft 365, consultez la page Attribuer des rôles d’administrateur.For more information on assigning roles in the Microsoft 365 admin center, see Assign admin roles.

Regardez : qu’est-ce qu’un administrateur ?Watch: What is an admin?

Directives de sécurité pour l'attribution des rôlesSecurity guidelines for assigning roles

Étant donné que les administrateurs ont accès à des fichiers et données sensibles, nous vous recommandons de suivre ces instructions afin de renforcer la sécurité des données au sein de votre organisation.Because admins have access to sensitive data and files, we recommend that you follow these guidelines to keep your organization's data more secure.

RecommandationRecommendation Pourquoi est-ce important ?Why is this important?
Avoir de deux à quatre administrateurs générauxHave 2 to 4 global admins Dans la mesure où seul un autre administrateur général peut réinitialiser le mot de passe d’un administrateur général, nous vous recommandons d’avoir au moins deux administrateurs généraux dans votre organisation en cas de verrouillage de compte.Because only another global admin can reset a global admin's password, we recommend that you have at least 2 global admins in your organization in case of account lockout. Cependant, il faut note que l’administrateur général dispose d’un accès quasi illimité aux paramètres de votre organisation et à la plupart des données. Nous vous recommandons donc également de ne pas avoir plus de 4 administrateurs généraux, car il s’agit d’une menace du point de vue de la sécurité.But the global admin has almost unlimited access to your org's settings and most of the data, so we also recommend that you don't have more than 4 global admins because that's a security threat.
Attribuer le rôle le moins permissifAssign the least permissive role L’attribution du rôle le moins permissif signifie que vous ne donnez aux administrateurs qu'un rôle d'accès à ce dont ils ont besoin pour accomplir leurs tâches.Assigning the least permissive role means giving admins only the access they need to get the job done. Par exemple, si vous voulez qu’une personne réinitialise les mots de passe des employés, vous devez attribuer un rôle d’administrateur général limité, tel que administrateur de mots de passe ou administrateur du support technique. Cela vous permet de sécuriser vos données.For example, if you want someone to reset employee passwords you shouldn't assign the unlimited global admin role, you should assign a limited admin role, like Password admin or Helpdesk admin. This will help keep your data secure.
Exiger une authentification multifacteur pour les administrateursRequire multi-factor authentication for admins Il est recommandé d’exiger l’authentification multifacteur (MFA) pour l’ensemble de vos utilisateurs, et les administrateurs devraient clairement être obligés d’utiliser l’authentification multifacteur pour se connecter.It's actually a good idea to require MFA for all of your users, but admins should definitely be required to use MFA to sign in. L’authentification multifacteur demande aux utilisateurs d’entrer une deuxième méthode d’identification pour vérifier leur identité.MFA makes users enter a second method of identification to verify they are who they say they are. Les administrateurs peuvent avoir accès à un grand nombre de données sur les clients et les employés. Si vous exigez une authentification multifacteur, le mot de passe est inutilisable sans la deuxième forme d’identification, même si le mot de passe administrateur est compromis.Admins can have access to a lot of customer and employee data and if you require MFA, even if the admin's password gets compromised, the password is useless without the second form of identification.

Lorsque vous activez l’authentification multifacteur, lors de la connexion suivante de l'utilisateur, il doit fournir une adresse de messagerie alternative et un numéro de téléphone pour la récupération de compte.When you turn on MFA, the next time the user signs in, they'll need to provide an alternate email address and phone number for account recovery.
Configurer l’authentification multifacteurSet up multi-factor authentication

Si vous recevez un message dans le centre d’administration vous indiquant que vous n’êtes pas autorisé à modifier un paramètre ou une page, cela signifie que le rôle attribué ne dispose pas de cette autorisation.If you get a message in the admin center telling you that you don't have permissions to edit a setting or page, it's because you are assigned a role that doesn't have that permission.

Rôles communément utilisés dans le centre d’administration 365 MicrosoftCommonly used Microsoft 365 admin center roles

Dans le Centre d’administration Microsoft 365, vous pouvez accéder à Rôles, puis sélectionner un rôle pour ouvrir le volet Détails.In the Microsoft 365 admin center, you can go to Roles, and then select any role to open its detail pane. Sélectionnez l’onglet Autorisations pour afficher la liste détaillée des autorisations attribuées à ce rôle d'administrateur.Select the Permissions tab to view the detailed list of what admins assigned that role have permissions to do. Sélectionnez l’onglet Attribué ou Administrateurs affectés pour ajouter des utilisateurs aux rôles.Select the Assigned or Assigned admins tab to add users to roles.

Vous devrez probablement attribuer les rôles suivants au sein de votre organisation.You'll probably only need to assign the following roles in your organization. Par défaut, les rôles les plus utilisés par les organisations s'affichent en premier.By default, we first show roles that most organizations use. Si le rôle recherché est introuvable, accédez au bas de la liste et sélectionnez Afficher tout par catégorie.If you can't find a role, go to the bottom of the list and select Show all by Category. (pour plus d’informations, notamment sur les applets de commande associées à un rôle, voir les Autorisations de rôle d'administrateur dans Azure Active Directory).(For detailed information, including the cmdlets associated with a role, see Administrator role permissions in Azure Active Directory.)

Rôle d’administrateurAdmin role À qui doit être affecté ce rôle ?Who should be assigned this role?
Administrateur de facturationBilling admin Affectez aux utilisateurs un administrateur de facturation qui peut effectuer des achats, gérer des demandes d’abonnement et de services et surveiller l’intégrité des services.Assign the Billing admin role to users who make purchases, manage subscriptions and service requests, and monitor service health.

Les administrateurs de facturation peuvent également :Billing admins also can:
– Gérer tous les aspects de la facturation- Manage all aspects of billing
– Créer et gérer des tickets au support dans le Portail Azure- Create and manage support tickets in the Azure portal
Administrateur ExchangeExchange admin Attribuez le rôle d’administrateur Exchange aux utilisateurs qui doivent afficher et gérer les boîtes aux lettres de messagerie de vos utilisateurs, les groupes Microsoft 365 et Exchange Online.Assign the Exchange admin role to users who need to view and manage your user's email mailboxes, Microsoft 365 groups, and Exchange Online.

Les administrateurs Exchange peuvent aussi :Exchange admins can also:
– Récupérer des éléments supprimés dans la boîte aux lettres d’un utilisateur- Recover deleted items in a user's mailbox
– Configurer les délégués « Envoyer en tant que » et « Envoyer de la part de »- Set up "Send As" and "Send on behalf" delegates
Administrateur globalGlobal admin Attribuez le rôle d’administrateur général aux utilisateurs qui doivent avoir un accès global à la plupart des fonctionnalités de gestion et des données dans les services Microsoft Online.Assign the Global admin role to users who need global access to most management features and data across Microsoft online services.

Le fait de donner un accès global à un grand nombre d’utilisateurs représente un risque pour la sécurité et nous vous recommandons de n’avoir que 2 à 4 administrateurs généraux.Giving too many users global access is a security risk and we recommend that you have between 2 and 4 Global admins.

Seuls les administrateurs généraux peuvent :Only global admins can:
– Réinitialiser les mots de passe pour l'ensemble des utilisateurs- Reset passwords for all users
– Ajouter et gérer des domaines- Add and manage domains

Remarque : la personne qui s’est inscrite aux services Microsoft Online devient automatiquement un administrateur général.Note: The person who signed up for Microsoft online services automatically becomes a Global admin.
Lecteur généralGlobal reader Attribuez le rôle de lecteur global aux utilisateurs qui doivent afficher les fonctionnalités et paramètres d’administration dans des centres d’administration que l’administrateur général peut afficher. Un administrateur lecteur global n'est pas autorisé à modifier des paramètres.Assign the global reader role to users who need to view admin features and settings in admin centers that the global admin can view. The global reader admin can't edit any settings.
Administrateur de groupesGroups admin Attribuez le rôle d’administrateur de groupes aux utilisateurs qui doivent gérer tous les paramètres de groupes dans les centres d’administration, y compris le centre d’administration Microsoft 365 et le portail Azure Active Directory.Assign the groups admin role to users who need to manage all groups settings across admin centers, including the Microsoft 365 admin center and Azure Active Directory portal.

Les administrateurs de groupe peuvent :Groups admins can:
– créer, modifier, supprimer et restaurer les groupes Microsoft 365- Create, edit, delete, and restore Microsoft 365 groups
– Créer et mettre à jour les stratégies de création, d’expiration et de désignation de groupes- Create and update group creation, expiration, and naming policies
– Créer, modifier, supprimer et restaurer des groupes de sécurité Azure Active Directory- Create, edit, delete, and restore Azure Active Directory security groups
Administrateur du support techniqueHelpdesk admin Attribuez le rôle d’administrateur du support technique aux utilisateurs qui doivent effectuer les opérations suivantes :Assign the Helpdesk admin role to users who need to do the following:
– Réinitialiser des mots de passe- Reset passwords
– Forcer les utilisateurs à se déconnecter- Force users to sign out
– Gérer des demandes de service- Manage service requests
– Surveiller l’état d’intégrité des services- Monitor service health

Remarque: l’administrateur du support technique peut uniquement aider des utilisateurs sans rôle d'administrateur et les utilisateurs ayant ces rôles : lecteur d’annuaire, invités hôtes, administrateur du support technique, lecteur de centre de messages et lecteur de rapports.Note: The Helpdesk admin can only help non-admin users and users assigned these roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, and Reports reader.
Administrateur de licencesLicense admin Affectez le rôle d’administrateur de licences aux utilisateurs qui doivent attribuer et supprimer des licences d’utilisateurs et modifier leur localisation d’utilisation.Assign the License admin role to users who need to assign and remove licenses from users and edit their usage location.

Les administrateurs de licences peuvent également :License admins also can:
– Retraiter les affectations de licences pour les licences basées sur des groupes- Reprocess license assignments for group-based licensing
– Affecter des licences produit aux groupes pour les licences basées sur des groupes- Assign product licenses to groups for group-based licensing
Administrateur d'applications OfficeOffice Apps admin Attribuez le rôle d’administrateur d'applications Office aux utilisateurs qui doivent effectuer les opérations suivantes :Assign the Office Apps admin role to users who need to do the following:
– Utiliser le service de stratégie cloud Office pour créer et gérer des stratégies basées sur le cloud pour Office- Use the Office cloud policy service to create and manage cloud-based policies for Office
– Créer et gérer des demandes de service- Create and manage service requests
– Gérer le contenu des nouveautés que les utilisateurs peuvent afficher dans les applications Office- Manage the What's New content that users see in their Office apps
– Surveiller l’état d’intégrité des services- Monitor service health
Administrateur de mots de passePassword admin Affectez le rôle d'administrateur de mots de passe à un utilisateur qui doit réinitialiser des mots de passe pour les non administrateurs et les administrateurs de mots de passe.Assign the Password admin role to a user who needs to reset passwords for non-administrators and Password Administrators.
Lecteur du Centre de messagesMessage center reader Attribuez le rôle de Lecteur de rapports aux utilisateurs qui doivent effectuer les opérations suivantes :Assign the Reports reader role to users who need to do the following:
– Surveiller les notifications du Centre de Messages- Monitor message center notifications
– Recevoir les résumés hebdomadaires de courrier sur les mises à jour et des publications du Centre de messages- Get weekly email digests of message center posts and updates
– Partager des billets du Centre de messages- Share message center posts
– Avoir un accès en lecture seule aux services Azure AD, tels que des utilisateurs et des groupes- Have read-only access to Azure AD services, such as users and groups
Administrateur Power PlatformPower Platform admin Attribuez le rôle de Lecteur de rapports aux utilisateurs qui doivent effectuer les opérations suivantes :Assign the Reports reader role to users who need to do the following:
– Gérer toutes les fonctionnalités administrateur pour PowerApps, Microsoft Flow et la protection contre la perte de données- Manage all admin features for PowerApps, Microsoft Flow, and data loss prevention
– Créer et gérer des demandes de service- Create and manage service requests
– Surveiller l’état d’intégrité des services- Monitor service health
Lecteur de rapportsReports reader Attribuez le rôle de Lecteur de rapports aux utilisateurs qui doivent effectuer les opérations suivantes :Assign the Reports reader role to users who need to do the following:
– Afficher les données d’utilisation et les rapports d’activité dans le Centre d’administration Microsoft 365- View usage data and the activity reports in the Microsoft 365 admin center
– Avoir accès au pack de contenu d’adoption de Power BI- Get access to the Power BI adoption content pack
– Avoir accès au rapports de connexion et d’activité dans Azure AD- Get access to sign-in reports and activity in Azure AD
– Afficher les données renvoyées par l’API de compte-rendu Microsoft Graph- View data returned by Microsoft Graph reporting API
Administrateur de support de serviceService Support admin Affectez le rôle d’administrateur de support de service en tant que rôle supplémentaire aux administrateurs ou aux utilisateurs qui doivent effectuer ce qui suit en complément de leur rôle d’administrateur habituel :Assign the Service Support admin role as an additional role to admins or users who need to do the following in addition to their usual admin role:
– Ouvrir et gérer des demandes de service- Open and manage service requests
– Afficher et partager des billets du centre de messages- View and share message center posts
– Surveiller l’état d’intégrité des services- Monitor service health
Administrateur SharePointSharePoint admin Attribuez le rôle d’administrateur SharePoint aux utilisateurs qui doivent accéder et gérer le centre d’administration SharePoint Online.Assign the SharePoint admin role to users who need to access and manage the SharePoint Online admin center.

Les administrateurs SharePoint peuvent également :SharePoint admins can also:
– Créer et supprimer des sites- Create and delete sites
– Gérer les collections de sites et les paramètres globaux de SharePoint- Manage site collections and global SharePoint settings
Administrateur du service TeamsTeams service admin Attribuez le rôle d’administrateur du service Teams aux utilisateurs qui doivent accéder et gérer le centre d’administration Teams.Assign the Teams service admin role to users who need to access and manage the Teams admin center.

Les administrateurs du service Teams peuvent également :Teams service admins can also:
– Gérer des réunions- Manage meetings
– Gérer les ponts de conférence- Manage conference bridges
– Gérer tous les paramètres à l’échelle de l’organisation, notamment la fédération, la mise à jour de Teams et les paramètres du client Teams- Manage all org-wide settings, including federation, teams upgrade, and teams client settings
Administrateur d’utilisateursUser admin Attribuez le rôle d’administrateur d'utilisateurs aux ceux qui doivent effectuer les opérations suivantes pour l'ensemble des utilisateurs :Assign the User admin role to users who need to do the following for all users:
– Ajouter des utilisateurs et des groupes- Add users and groups
– Attribuer des licences- Assign licenses
– Gérer la plupart des propriétés des utilisateurs- Manage most users properties
– Créer et gérer les affichages utilisateur- Create and manage user views
– Mettre à jour les stratégies d’expiration des mots de passe- Update password expiration policies
– Gérer des demandes de service- Manage service requests
– Surveiller l’état d’intégrité des services- Monitor service health

L’administrateur d’utilisateurs peut également effectuer les actions suivantes pour les utilisateurs qui ne sont pas administrateurs et pour ceux auxquels les rôles suivants sont attribués : lecteur de répertoire, inviteur d'invités, administrateur du support technique, lecteur du centre de messages, lecteur de rapports :The user admin can also do the following actions for users who aren't admins and for users assigned the following roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, Reports reader:
– Gérer les noms d’utilisateur- Manage usernames
– Supprimer et restaurer des d’utilisateurs- Delete and restore users
– Réinitialiser des mots de passe- Reset passwords
– Forcer les utilisateurs à se déconnecter- Force users to sign out
– Mettre à jour les clés d'appareils (FIDO)- Update (FIDO) device keys

Administration déléguée pour les partenaires MicrosoftDelegated administration for Microsoft Partners

Si vous travaillez avec un partenaire Microsoft, vous pouvez lui attribuer un rôle d’administrateur.If you're working with a Microsoft partner, you can assign them admin roles. Il peut à son tour attribuer des rôles d'administrateur aux utilisateurs de votre entreprise ou de la sienne.They, in turn, can assign users in your company, or their company, admin roles. Par exemple, vous souhaiterez peut-être qu’il le fasse s’il est chargé de configurer et de gérer votre organisation en ligne pour vous.You might want them to do this, for example, if they are setting up and managing your online organization for you.

Un partenaire peut attribuer ces rôles : A partner can assign these roles:

  • Agent d’administration, dont les privilèges sont équivalents à ceux d’un administrateur général, sauf en matière de gestion de l’authentification multifacteur via l'Espace partenaires.Admin Agent Privileges equivalent to a global admin, with the exception of managing multi-factor authentication through the Partner Center.

  • Agent de support technique, dont les privilèges sont équivalents à ceux d’un administrateur du support technique.Helpdesk Agent Privileges equivalent to a helpdesk admin.

Pour que le partenaire puisse attribuer ces rôles à des utilisateurs, vous devez ajouter le partenaire en tant qu’administrateur délégué de votre compte.Before the partner can assign these roles to users, you must add the partner as a delegated admin to your account. Ce processus est initié par un partenaire autorisé.This process is initiated by an authorized partner. Le partenaire vous envoie un e-mail pour vous demander l’autorisation d’agir en tant qu’administrateur délégué. Pour consulter des instructions, voir Autoriser ou supprimer des relations de partenaire.The partner sends you an email to ask you if you want to give them permission to act as a delegated admin. For instructions, see Authorize or remove partner relationships.

Attribuer des rôles administrateur (article)Assign admin roles (article)
Les rôles Azure AD dans le Centre d’administration Microsoft 365 (article)Azure AD roles in the Microsoft 365 admin center (article)
Rôle d 'administrateur Exchange Online (article)\ Rapports d activité dans le Centre d’administration Microsoft 365 (article)Exchange Online admin role (article)\ Activity reports in the Microsoft 365 admin center (article)