管理者ロールについてAbout admin roles

Microsoft 365 または Office 365 サブスクリプションには、Microsoft 365 管理センターを使用して組織内のユーザーに割り当てることができる管理者ロールセットがあります。Microsoft 365 or Office 365 subscription comes with a set of admin roles that you can assign to users in your organization using the Microsoft 365 admin center. 各管理者ロールは、一般的なビジネス機能にマップされ、組織内のユーザーに管理センターで特定のタスクを実行する許可を与えます。Each admin role maps to common business functions and gives people in your organization permissions to do specific tasks in the admin centers.

Microsoft 365 管理センターでは、Azure AD の役割およびMicrosoft Intune の役割を管理できます。The Microsoft 365 admin center lets you manage Azure AD roles and Microsoft Intune roles. ただし、これらの役割は、Azure ポータルおよびIntune 管理センターで使用可能な役割のサブセットです。However, these roles are a subset of the roles available in the Azure AD portal and the Intune admin center.

はじめにBefore you begin

Microsoft 365 管理センターで管理できる詳細な Azure AD 役割の説明の完全なリストをお探しですか?Looking for the full list of detailed Azure AD role descriptions you can manage in the Microsoft 365 admin center? 「Azure Active Directory での管理者役割のアクセス許可」を確認してください。Check out Administrator role permissions in Azure Active Directory. Azure Active Directory での管理者役割のアクセス許可Administrator role permissions in Azure Active Directory.

Microsoft 365 管理センターで管理できる詳細な Intune 役割の説明の完全なリストをお探しですか?Looking for the full list of detailed Intune role descriptions you can manage in the Microsoft 365 admin center? Microsoft Intune の役割ベースのアクセス制御 (RBAC)」を確認してください。Check out Role-based access control (RBAC) with Microsoft Intune.

Microsoft 365 管理センターでの役割を割り当てる方法の詳細については、「管理者ロールを割り当てる」を参照してください。For more information on assigning roles in the Microsoft 365 admin center, see Assign admin roles.

ビデオ: 管理者とはWatch: What is an admin?

役割を割り当てるためのセキュリティ ガイドラインSecurity guidelines for assigning roles

管理者は機密データやファイルにアクセスできるため、組織のデータをより安全に保つためにこれらのガイドラインに従うことをお勧めします。Because admins have access to sensitive data and files, we recommend that you follow these guidelines to keep your organization's data more secure.

推奨事項Recommendation 重要な理由Why is this important?
2 〜 4 人のグローバル管理者を配置するHave 2 to 4 global admins グローバル管理者のパスワードをリセットできるのは別のグローバル管理者のみであるため、アカウントがロックアウトされた場合に備えて、組織内に少なくとも 2 人のグローバル管理者を配置することをお勧めします。Because only another global admin can reset a global admin's password, we recommend that you have at least 2 global admins in your organization in case of account lockout. ただし、グローバル管理者は組織の設定とほとんどのデータにほぼ無制限にアクセスできます。これはセキュリティ上の脅威であるため、グローバル管理者は 4 人を超えて配置しないことをお勧めします。But the global admin has almost unlimited access to your org's settings and most of the data, so we also recommend that you don't have more than 4 global admins because that's a security threat.
制限が最も多い 役割を割り当てるAssign the least permissive role 制限が最も多い 役割の割り当ては、仕事を完了するために必要なアクセス権のみを管理者に付与することを意味します。Assigning the least permissive role means giving admins only the access they need to get the job done. たとえば、従業員のパスワードを誰かにリセットさせたい場合、無制限のグローバル管理者ロールを割り当てるべきではなく、パスワード管理者やヘルプデスク管理者などの制限付き管理者ロールを割り当ててください。これにより、データを安全に保つことができます。For example, if you want someone to reset employee passwords you shouldn't assign the unlimited global admin role, you should assign a limited admin role, like Password admin or Helpdesk admin. This will help keep your data secure.
管理者に多要素認証 (MFA) を要求するRequire multi-factor authentication for admins 実際にはすべてのユーザーに対して MFA を要求することをお勧めしますが、管理者は間違いなく MFA を使用してサインインする必要があります。It's actually a good idea to require MFA for all of your users, but admins should definitely be required to use MFA to sign in. MFA は、ユーザーが自分が宣言したとおりの人物であることを確認するために、ユーザーに 2 番目の識別方法を入力させます。MFA makes users enter a second method of identification to verify they are who they say they are. 管理者は多くの顧客および従業員のデータにアクセスできます。MFA が必要な場合、管理者のパスワードが侵害されたとしても、2 番目の形式の ID がなければパスワードは役に立ちません。Admins can have access to a lot of customer and employee data and if you require MFA, even if the admin's password gets compromised, the password is useless without the second form of identification.

MFA を有効にすると、ユーザーが次回サインインするときに、アカウントを回復するための代替のメール アドレスおよび電話番号を提供する必要があります。When you turn on MFA, the next time the user signs in, they'll need to provide an alternate email address and phone number for account recovery.
多要素認証をセットアップするSet up multi-factor authentication

管理センターで、設定またはページを編集する許可がないことを通知するメッセージが表示される場合、その許可を持たない役割が割り当てられていることが原因です。If you get a message in the admin center telling you that you don't have permissions to edit a setting or page, it's because you are assigned a role that doesn't have that permission.

よく使用される Microsoft 365 管理センターの役割Commonly used Microsoft 365 admin center roles

Microsoft 365 管理センターで、[役割] に移動し、任意の役割を選択して詳細ウィンドウを開きます。In the Microsoft 365 admin center, you can go to Roles, and then select any role to open its detail pane. [アクセス許可] タブを選択して、実行する許可を持った役割を割り当てられた管理者についての詳細な一覧を表示します。Select the Permissions tab to view the detailed list of what admins assigned that role have permissions to do. 役割にユーザーを追加するには、[割り当てられた] または [割り当てられた管理者] タブを選択します。Select the Assigned or Assigned admins tab to add users to roles.

おそらく、組織内で次の役割を割り当てる必要があるだけです。You'll probably only need to assign the following roles in your organization. 既定では、最初にほとんどの組織が使用する役割が表示されます。By default, we first show roles that most organizations use. 役割が見つからない場合は、一覧の一番下に移動し、[すべてをカテゴリ別に表示] を選択します。If you can't find a role, go to the bottom of the list and select Show all by Category. (役割に関連付けられたコマンドレットなどの詳細については、「Azure Active Directory での管理者ロールのアクセス許可」を参照してください。)(For detailed information, including the cmdlets associated with a role, see Administrator role permissions in Azure Active Directory.)

管理者ロールAdmin role 誰にこの役割を割り当てるかWho should be assigned this role?
課金管理者Billing admin 購入、サブスクリプションおよびサービス要求の管理、サービスの正常性の監視を行うユーザーに、課金管理者ロールを割り当てます。Assign the Billing admin role to users who make purchases, manage subscriptions and service requests, and monitor service health.

課金管理者は、以下のことも実行できます。Billing admins also can:
- 課金のあらゆる側面を管理する- Manage all aspects of billing
- Azure portal でサポート チケットを作成して管理する- Create and manage support tickets in the Azure portal
Exchange 管理者Exchange admin ユーザーのメールボックス、Microsoft 365 グループ、および Exchange Online を表示および管理する必要があるユーザーに Exchange 管理者ロールを割り当てます。Assign the Exchange admin role to users who need to view and manage your user's email mailboxes, Microsoft 365 groups, and Exchange Online.

Exchange 管理者は、以下のことも実行できます。Exchange admins can also:
- ユーザーのメールボックスの削除されたアイテムを復元する- Recover deleted items in a user's mailbox
- "メールボックス所有者として送信する" 権限および "代理人として送信する" 権限を代理人に付与する- Set up "Send As" and "Send on behalf" delegates
グローバル管理者Global admin Microsoft オンライン サービス全体のほとんどの管理機能およびデータへのグローバルなアクセスが必要なユーザーに、グローバル管理者ロールを割り当てます。Assign the Global admin role to users who need global access to most management features and data across Microsoft online services.

グローバルなアクセスを多くのユーザーに許可することはセキュリティ上のリスクであるため、2 〜 4 人のグローバル管理者を配置することをお勧めします。Giving too many users global access is a security risk and we recommend that you have between 2 and 4 Global admins.

グローバル管理者のみが、以下の操作を実行できます。Only global admins can:
- すべてのユーザーのパスワードをリセットする- Reset passwords for all users
- ドメインを追加および管理する- Add and manage domains

注: Microsoft オンライン サービスにサインアップしたユーザーが、自動的にグローバル管理者になります。Note: The person who signed up for Microsoft online services automatically becomes a Global admin.
グローバル閲覧者Global reader グローバル管理者が表示できる管理センターの管理機能および設定を表示する必要があるユーザーに、グローバル閲覧者ロールを割り当てます。Assign the global reader role to users who need to view admin features and settings in admin centers that the global admin can view. グローバル閲覧者管理者は、設定を編集できません。The global reader admin can't edit any settings.
グループ管理者Groups admin Microsoft 365 管理センターや Azure Active Directory ポータルなど、管理センター全体に渡ってすべてのグループ設定を管理する必要があるユーザーに、グループ管理者ロールを割り当てます。Assign the groups admin role to users who need to manage all groups settings across admin centers, including the Microsoft 365 admin center and Azure Active Directory portal.

グループ管理者は、以下の操作を実行できます。Groups admins can:
- Microsoft 365 グループの作成、編集、削除、復元- Create, edit, delete, and restore Microsoft 365 groups
- グループの作成、有効期限、および名前付けポリシーの作成および更新- Create and update group creation, expiration, and naming policies
- Azure Active Directory セキュリティ グループの作成、編集、削除、復元- Create, edit, delete, and restore Azure Active Directory security groups
ヘルプデスク管理者Helpdesk admin ヘルプデスク管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。Assign the Helpdesk admin role to users who need to do the following:
- パスワードをリセットする- Reset passwords
- ユーザーを強制的にサインアウトさせる- Force users to sign out
- サービス リクエストを管理する- Manage service requests
- サービス正常性を監視する- Monitor service health

: ヘルプデスク管理者は、管理者以外のユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割に割り当てられたユーザーのみを支援できます。Note: The Helpdesk admin can only help non-admin users and users assigned these roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, and Reports reader.
ライセンス管理者License admin ユーザーのライセンスの割り当てと削除を行い、利用場所を編集する必要があるユーザーに、ライセンス管理者ロールを割り当てます。Assign the License admin role to users who need to assign and remove licenses from users and edit their usage location.

ライセンス管理者は、以下のことも実行できます。License admins also can:
- グループベースのライセンスのライセンス割り当てを再処理する- Reprocess license assignments for group-based licensing
- グループベースのライセンス用にグループに製品ライセンスを割り当てる- Assign product licenses to groups for group-based licensing
Office アプリ管理者Office Apps admin Office アプリ管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。Assign the Office Apps admin role to users who need to do the following:
- Office クラウド ポリシー サービスを使用して、Office のクラウドベースのポリシーを作成および管理する- Use the Office cloud policy service to create and manage cloud-based policies for Office
- サービス リクエストを作成および管理する- Create and manage service requests
- ユーザーの Office アプリに表示される新しいコンテンツを管理する- Manage the What's New content that users see in their Office apps
- サービス正常性を監視する- Monitor service health
パスワード管理者Password admin 非管理者およびパスワード管理者のパスワードを再設定する必要があるユーザーに、パスワード管理者ロールを割り当てます。Assign the Password admin role to a user who needs to reset passwords for non-administrators and Password Administrators.
サービス サポート管理者Service support admin 通常の管理者ロールに加え、次の操作を行う必要がある管理者またはユーザーに、追加のロールとしてサービス サポート管理者ロールを割り当てます。Assign the Service Support admin role as an additional role to admins or users need to do the following in addition to their usual admin role:
- サービス リクエストを開いて管理する- Open and manage service requests
- メッセージ センターの投稿を表示して共有する- View and share message center posts
- サービス正常性を監視する- Monitor service health
SharePoint 管理者SharePoint admin SharePoint 管理者ロールは、SharePoint Online 管理センターにアクセスして管理する必要があるユーザーに割り当てます。Assign the SharePoint admin role to users who need to access and manage the SharePoint Online admin center.

SharePoint 管理者は、以下のことも実行できます。SharePoint admins can also:
- サイトを作成および削除する- Create and delete sites
- サイト コレクションとグローバル SharePoint 設定を管理する- Manage site collections and global SharePoint settings
Teams のサービス管理者Teams service admin Teams のサービス管理者ロールは、Teams 管理センターにアクセスして管理する必要があるユーザーに割り当てます。Assign the Teams service admin role to users who need to access and manage the Teams admin center.

Teams のサービス管理者は、以下のことも実行できます。Teams service admins can also:
- 会議を管理する- Manage meetings
- 会議ブリッジを管理する- Manage conference bridges
- フェデレーション、Teams のアップグレード、Teams クライアントの設定を含む組織全体にわたる設定を管理する- Manage all org-wide settings, including federation, teams upgrade, and teams client settings
ユーザー管理者User admin ユーザー管理者ロールは、すべてのユーザーに対して以下の操作を行う必要があるユーザーに割り当てます。Assign the User admin role to users who need to do the following for all users:
- ユーザーおよびグループを追加する- Add users and groups
- ライセンスを割り当てる- Assign licenses
- ほとんどのユーザー プロパティを管理する- Manage most users properties
ユーザー ビューを作成および管理する- Create and manage user views
パスワードの有効期限ポリシーを更新する- Update password expiration policies
- サービス リクエストを管理する- Manage service requests
- サービス正常性を監視する- Monitor service health

ユーザー管理者は、管理者ではないユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割が割り当てられているユーザーに対して、以下の操作を行うこともできます。The user admin can also do the following actions for users who aren't admins and for users assigned the following roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, Reports reader:
- ユーザー名を管理する- Manage usernames
- ユーザーを削除および復元する- Delete and restore users
- パスワードをリセットする- Reset passwords
- ユーザーを強制的にサインアウトさせる- Force users to sign out
- (FIDO) デバイス キーを更新する- Update (FIDO) device keys

Microsoft パートナーの代理管理Delegated administration for Microsoft Partners

Microsoft パートナーと連携している場合、パートナーに管理者ロールを割り当てることができます。If you're working with a Microsoft partner, you can assign them admin roles. 次に、彼らはあなたの会社のユーザーまたはその会社の管理者ロールを割り当てることができます。They, in turn, can assign users in your company, or their company, admin roles. たとえば、彼らがあなたのためにオンライン組織をセットアップし管理している場合、彼らにして欲しいのはこれかもしれません。You might want them to do this, for example, if they are setting up and managing your online organization for you.

パートナーは、次の役割を割り当てることができます。A partner can assign these roles:

  • 管理エージェント パートナー センターを介した多要素認証の管理を除いた、グローバル管理者と同等の特権を持ちます。Admin Agent Privileges equivalent to a global admin, with the exception of managing multi-factor authentication through the Partner Center.

  • ヘルプデスク エージェント ヘルプデスク管理者と同等の特権を持ちます。Helpdesk Agent Privileges equivalent to a helpdesk admin.

パートナーがこれらの役割をユーザーに割り当てる前に、パートナーを代理管理者としてアカウントに追加する必要があります。Before the partner can assign these roles to users, you must add the partner as a delegated admin to your account. このプロセスは認定パートナーによって開始されます。This process is initiated by an authorized partner. パートナーは管理者に電子メールを送信し、代理管理者となる権限を割り当てるかどうか質問します。手順については、「パートナー リレーションシップの承認または削除」を参照してください。The partner sends you an email to ask you if you want to give them permission to act as a delegated admin. For instructions, see Authorize or remove partner relationships.

管理者の役割を割り当てるAssign admin roles

Microsoft 365 管理センターの Azure AD の役割Azure AD roles in the Microsoft 365 admin center

Exchange Online 管理者の役割Exchange Online admin role

Microsoft 365 管理センターのアクティビティ レポートActivity reports in the Microsoft 365 admin center