管理者ロールについて

Microsoft 365 または Office 365 のサブスクリプションには、Microsoft 365 管理センターを使用して組織内のユーザーに割り当てることができる一連の管理者役割があります。各管理者ロールは一般的なビジネス機能に対応し、組織のユーザーに、管理センターで特定のタスクを実行するためのアクセス許可を付与します。

Microsoft 365 管理センターでは、Azure AD の役割およびMicrosoft Intune の役割を管理できます。 ただし、これらの役割は、Azure ポータルおよびIntune 管理センターで使用可能な役割のサブセットです。

ビデオ: 管理者とは

  1. Microsoft 365 にサインインして、アプリ起動ツールを選択します。 [管理者] ボタンが表示されている場合は、あなたが管理者です。
  2. [管理者] を選択して、Microsoft 365 管理センターに移動します。
  3. 左側のナビゲーション ウィンドウで、[ユーザー] > [アクティブなユーザー] を選択します。
  4. 管理者にしたいユーザーを選択します。ユーザーの詳細が右側のダイアログ ボックスに表示されます。

はじめに

Microsoft 365 管理センターで管理できる Azure AD 役割の詳細な説明の完全なリストをお探しですか? 「Azure Active Directory での管理者役割のアクセス許可」を確認してください。 Azure AD ロール

Microsoft 365 管理センターで管理できる Intune 役割の詳細な説明の完全なリストをお探しですか? 「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」を確認してください。

Microsoft 365 管理センターでの役割を割り当てる方法の詳細については、「管理者役割を割り当てる」を参照してください。

役割を割り当てるためのセキュリティ ガイドライン

管理者は機密データやファイルにアクセスできるため、組織のデータをより安全に保つためにこれらのガイドラインに従うことをお勧めします。

推奨事項 重要な理由
2 〜 4 人のグローバル管理者を配置する グローバル管理者のパスワードをリセットできるのは別のグローバル管理者のみであるため、アカウントがロックアウトされた場合に備えて、組織内に少なくとも 2 人のグローバル管理者を配置することをお勧めします。 ただし、グローバル管理者は組織の設定とほとんどのデータにほぼ無制限にアクセスできます。これはセキュリティ上の脅威であるため、グローバル管理者は 4 人を超えて配置しないことをお勧めします。
制限が最も多い 役割を割り当てる 制限が最も多い 役割の割り当ては、仕事を完了するために必要なアクセス権のみを管理者に付与することを意味します。 たとえば、従業員のパスワードを誰かにリセットさせたい場合、無制限のグローバル管理者ロールを割り当てるべきではなく、パスワード管理者やヘルプデスク管理者などの制限付き管理者ロールを割り当ててください。これにより、データを安全に保つことができます。
管理者に多要素認証 (MFA) を要求する 実際にはすべてのユーザーに対して MFA を要求することをお勧めしますが、管理者は間違いなく MFA を使用してサインインする必要があります。 MFA は、ユーザーが自分が宣言したとおりの人物であることを確認するために、ユーザーに 2 番目の識別方法を入力させます。 管理者は多くの顧客および従業員のデータにアクセスできます。MFA が必要な場合、管理者のパスワードが侵害されたとしても、2 番目の形式の ID がなければパスワードは役に立ちません。

MFA を有効にすると、ユーザーが次回サインインするときに、アカウントを回復するための代替のメール アドレスおよび電話番号を提供する必要があります。
多要素認証をセットアップする

管理センターで、設定またはページを編集する許可がないことを通知するメッセージが表示される場合、その許可を持たない役割が割り当てられていることが原因です。

よく使用される Microsoft 365 管理センターの役割

Microsoft 365 管理センターで、[役割] に移動し、任意の役割を選択して詳細ウィンドウを開きます。 [アクセス許可] タブを選択して、実行する許可を持った役割を割り当てられた管理者についての詳細な一覧を表示します。 役割にユーザーを追加するには、[割り当てられた] または [割り当てられた管理者] タブを選択します。

おそらく、組織内で次の役割を割り当てる必要があるだけです。 既定では、最初にほとんどの組織が使用する役割が表示されます。 役割が見つからない場合は、一覧の一番下に移動し、[すべてをカテゴリ別に表示] を選択します。 (役割に関連付けられたコマンドレットなどの詳細については、「Azure AD での組み込みの役割」を参照してください。)

管理者ロール 誰にこの役割を割り当てるか
課金管理者 購入、サブスクリプションおよびサービス要求の管理、サービスの正常性の監視を行うユーザーに、課金管理者ロールを割り当てます。

課金管理者は、以下のことも実行できます。
- 課金のあらゆる側面を管理する
- Azure portal でサポート チケットを作成して管理する
Exchange 管理者 ユーザーのメールボックス、Microsoft 365 グループ、および Exchange Online を表示および管理する必要があるユーザーに Exchange 管理者ロールを割り当てます。

Exchange 管理者は、以下のことも実行できます。
- ユーザーのメールボックスの削除されたアイテムを復元する
- "メールボックス所有者として送信する" 権限および "代理人として送信する" 権限を代理人に付与する
グローバル管理者 Microsoft オンライン サービス全体のほとんどの管理機能およびデータへのグローバルなアクセスが必要なユーザーに、グローバル管理者ロールを割り当てます。

グローバルなアクセスを多くのユーザーに許可することはセキュリティ上のリスクであるため、2 〜 4 人のグローバル管理者を配置することをお勧めします。

グローバル管理者のみが、以下の操作を実行できます。
- すべてのユーザーのパスワードをリセットする
- ドメインを追加および管理する

注: Microsoft オンライン サービスにサインアップしたユーザーが、自動的にグローバル管理者になります。
グローバル閲覧者 グローバル管理者が表示できる管理センターの管理機能および設定を表示する必要があるユーザーに、グローバル閲覧者ロールを割り当てます。グローバル閲覧者管理者は、設定を編集できません。
グループ管理者 Microsoft 365 管理センターや Azure Active Directory ポータルなど、管理センター全体に渡ってすべてのグループ設定を管理する必要があるユーザーに、グループ管理者ロールを割り当てます。

グループ管理者は、以下の操作を実行できます。
- Microsoft 365 グループの作成、編集、削除、復元
- グループの作成、有効期限、および名前付けポリシーの作成および更新
- Azure Active Directory セキュリティ グループの作成、編集、削除、復元
ヘルプデスク管理者 ヘルプデスク管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- パスワードをリセットする
- ユーザーを強制的にサインアウトさせる
- サービス リクエストを管理する
- サービス正常性を監視する

: ヘルプデスク管理者は、管理者以外のユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割に割り当てられたユーザーのみを支援できます。
ライセンス管理者 ユーザーのライセンスの割り当てと削除を行い、利用場所を編集する必要があるユーザーに、ライセンス管理者ロールを割り当てます。

ライセンス管理者は、以下のことも実行できます。
- グループベースのライセンスのライセンス割り当てを再処理する
- グループベースのライセンス用にグループに製品ライセンスを割り当てる
Office アプリ管理者 Office アプリ管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- Office クラウド ポリシー サービスを使用して、Office のクラウドベースのポリシーを作成および管理する
- サービス リクエストを作成および管理する
- ユーザーの Office アプリに表示される新しいコンテンツを管理する
- サービス正常性を監視する
パスワード管理者 非管理者およびパスワード管理者のパスワードを再設定する必要があるユーザーに、パスワード管理者ロールを割り当てます。
メッセージ センター閲覧者 メッセージ センター閲覧者のロールは、以下の操作を行う必要があるユーザーに割り当てます。
- メッセージ センターの通知の監視
- メッセージ センターの投稿と更新情報の週単位のメール ダイジェストの取得
- メッセージ センターの投稿の共有
- ユーザーやグループなど、Azure AD サービスへの読み取り専用アクセス権の所持
Power プラットフォーム管理者 Power プラットフォーム管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- Power Apps、Power Automate、およびデータ損失防止のすべての管理者機能を管理する
- サービス リクエストを作成および管理する
- サービス正常性を監視する
レポート閲覧者 レポート閲覧者のロールは、以下の操作を行う必要があるユーザーに割り当てます。
Microsoft 365 管理センターで利用データとアクティビティ レポートを表示する
- Power BI 導入コンテンツ パックへのアクセスする
- Azure AD でサインイン レポートとアクティビティにアクセスする
- Microsoft Graph レポート API の返すデータを表示する
サービス サポート管理者 通常の管理者ロールに加え、次の操作を行う必要がある管理者またはユーザーに、追加のロールとしてサービス サポート管理者ロールを割り当てます。
- サービス リクエストを開いて管理する
- メッセージ センターの投稿を表示して共有する
- サービス正常性を監視する
SharePoint 管理者 SharePoint 管理者ロールは、SharePoint Online 管理センターにアクセスして管理する必要があるユーザーに割り当てます。

SharePoint 管理者は、以下のことも実行できます。
- サイトを作成および削除する
- サイト コレクションとグローバル SharePoint 設定を管理する
Teams 管理者 Teams 管理者ロールは、Teams 管理センターにアクセスして管理する必要があるユーザーに割り当てます。

Teams 管理者は、以下のことも実行できます。
- 会議を管理する
- 会議ブリッジを管理する
- フェデレーション、Teams のアップグレード、Teams クライアントの設定を含む組織全体にわたる設定を管理する
ユーザー管理者 ユーザー管理者ロールは、すべてのユーザーに対して以下の操作を行う必要があるユーザーに割り当てます。
- ユーザーおよびグループを追加する
- ライセンスを割り当てる
- ほとんどのユーザー プロパティを管理する
ユーザー ビューを作成および管理する
パスワードの有効期限ポリシーを更新する
- サービス リクエストを管理する
- サービス正常性を監視する

ユーザー管理者は、管理者ではないユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割が割り当てられているユーザーに対して、以下の操作を行うこともできます。
- ユーザー名を管理する
- ユーザーを削除および復元する
- パスワードをリセットする
- ユーザーを強制的にサインアウトさせる
- (FIDO) デバイス キーを更新する

Microsoft パートナーの代理管理

Microsoft パートナーと連携している場合、パートナーに管理者ロールを割り当てることができます。同様にパートナーは、お客様の会社 (またはパートナー会社) のユーザーに管理者ロールを割り当てることができます。たとえば、彼らがあなたのためにオンライン組織をセットアップして管理している場合、彼らにして欲しいのはこれかもしれません。

パートナーは、次の役割を割り当てることができます。

  • 管理エージェント パートナー センターを介した多要素認証の管理を除いた、グローバル管理者と同等の特権を持ちます。

  • ヘルプデスク エージェント ヘルプデスク管理者と同等の特権を持ちます。

パートナーがこれらの役割をユーザーに割り当てる前に、パートナーを代理管理者としてアカウントに追加する必要があります。 このプロセスは認定パートナーによって開始されます。 パートナーは管理者に電子メールを送信し、代理管理者となる権限を割り当てるかどうか質問します。手順については、「パートナー リレーションシップの承認または削除」を参照してください。

管理者の役割を割り当てる (記事)
Microsoft 365 管理センターの Azure AD の役割 (記事)
Microsoft 365 管理センターのアクティビティ レポート (記事)
Exchange Online 管理者の役割 (記事)