Microsoft 365 管理センターの管理者ロールについて

YouTube で Microsoft 365 Small Business ヘルプを確認してください。

Microsoft 365 または Office 365 サブスクリプションには、Microsoft 365 管理センターを使用して組織内のユーザーに割り当てることができる管理者ロールセットがあります。 各管理者ロールは、一般的なビジネス機能にマップされ、組織内のユーザーに管理センターで特定のタスクを実行する許可を与えます。

ヒント

このトピックの手順に関するヘルプが必要な場合は、Microsoft Small Business スペシャリストとの協働を検討してください。 Business Assist を使用すると、オンボーディングから日常使用まで、ビジネスを成長させながら従業員とともに一日中いつでも中小企業の専門家にアクセスできます。

ビデオ: 管理者とは

YouTube チャンネルで、このビデオや他のビデオを確認してください。

  1. Microsoft 365 にサインインして、アプリ起動ツールを選択します。 [管理者] ボタンが表示されている場合は、あなたが管理者です。
  2. [管理者] を選択して、Microsoft 365 管理センターに移動します。
  3. 左側のナビゲーション ウィンドウで、[ユーザー]>[アクティブなユーザー] を選択します。
  4. 管理者にしたいユーザーを選択します。ユーザーの詳細が右側のダイアログ ボックスに表示されます。

はじめに

Microsoft 365 管理センターを使用すると、Microsoft EntraロールとMicrosoft Intuneロールを管理できます。 ただし、これらのロールは、Microsoft Entra 管理センターおよび Intune 管理センターで利用可能なロールのサブセットです。

Microsoft 365 管理センターで管理できる詳細なMicrosoft Entraロールの説明の完全な一覧については、「Microsoft Entra組み込みロール」トピックの「管理者ロールのアクセス許可」をチェックします。

Microsoft 365 管理センターで管理できる詳細な Intune ロールの説明の完全な一覧については、Microsoft Intuneを使用してロールベースのアクセス制御 (RBAC) をチェックします。

Microsoft 365 管理センターでの役割を割り当てる方法の詳細については、「管理者役割を割り当てる」を参照してください。

役割を割り当てるためのセキュリティ ガイドライン

管理者は機密データやファイルにアクセスできるため、組織のデータをより安全に保つためにこれらのガイドラインに従うことをお勧めします。

推奨事項 重要な理由
2 人から 4 人のグローバル管理者を持つ グローバル管理者は、organizationの設定とそのほとんどのデータにほぼ無制限にアクセスできます。 グローバル管理者の数はできるだけ制限することをお勧めします。 グローバル 管理が誤ってアカウントをロックし、パスワードのリセットが必要になる場合があります。 別のグローバル 管理または特権認証管理は、グローバル 管理のパスワードをリセットできます。 そのため、グローバル 管理によってアカウントがロックされた場合は、少なくとも 1 つ以上のグローバル 管理または特権認証管理を使用することをお勧めします。
制限が最も多い 役割を割り当てる 制限が最も多い 役割の割り当ては、仕事を完了するために必要なアクセス権のみを管理者に付与することを意味します。 たとえば、従業員のパスワードをリセットする場合は、無制限のグローバル管理者ロールを割り当ててはいけません。パスワード管理者やヘルプデスク管理者などの制限付き管理者ロールを割り当てる必要があります。
管理者に多要素認証 (MFA) を要求する 実際にはすべてのユーザーに対して MFA を要求することをお勧めしますが、管理者は間違いなく MFA を使用してサインインする必要があります。 MFA を使用すると、ユーザーは 2 つ目の識別方法を使用して ID を確認できます。 管理者は、顧客と従業員のデータの多くにアクセスできます。 MFA が必要な場合、管理者のパスワードが侵害された場合でも、2 番目の識別方法がないとパスワードは役に立ちません。

MFA を有効にすると、ユーザーが次回サインインするときに、アカウントを回復するための代替のメール アドレスおよび電話番号を提供する必要があります。
多要素認証をセットアップする

管理センターで、設定またはページを編集するためのアクセス許可がないことを示すメッセージが表示される場合は、そのアクセス許可を持たないロールが割り当てられているためです。 別の管理者に相談して適切なアクセス許可を割 り当てるか、「管理者ロールを割り当てて 正しいロールを割り当てる」を参照してください。

よく使用される Microsoft 365 管理センターの役割

Microsoft 365 管理センターで、[役割] に移動し、任意の役割を選択して詳細ウィンドウを開きます。 [アクセス許可] タブを選択して、実行する許可を持った役割を割り当てられた管理者についての詳細な一覧を表示します。 役割にユーザーを追加するには、[割り当てられた] または [割り当てられた管理者] タブを選択します。

おそらく、組織内で次の役割を割り当てる必要があるだけです。 既定では、最初にほとんどの組織が使用する役割が表示されます。 役割が見つからない場合は、一覧の一番下に移動し、[すべてをカテゴリ別に表示] を選択します。 ロールに関連付けられているコマンドレットなど、詳細については、「Microsoft Entra組み込みロール」を参照してください。

管理者ロール 誰にこの役割を割り当てるか
課金管理者 購入、サブスクリプションおよびサービス要求の管理、サービスの正常性の監視を行うユーザーに、課金管理者ロールを割り当てます。

課金管理者は、以下のことも実行できます。
- 課金のあらゆる側面を管理する
- Azure portal でサポート チケットを作成して管理する
Exchange 管理者 ユーザーのメールボックス、Microsoft 365 グループ、および Exchange Online を表示および管理する必要があるユーザーに Exchange 管理者ロールを割り当てます。

Exchange 管理者は、以下のことも実行できます。
- ユーザーのメールボックスの削除されたアイテムを復元する
- "メールボックス所有者として送信する" 権限および "代理人として送信する" 権限を代理人に付与する
Fabric 管理者 次の操作を行う必要があるユーザーに Fabric 管理者ロールを割り当てます。
- Microsoft Fabric と Power BI のすべての管理機能を管理する
- 使用状況とパフォーマンスに関するレポート
- 監査の確認と管理
グローバル管理者 Microsoft オンライン サービス全体のほとんどの管理機能およびデータへのグローバルなアクセスが必要なユーザーに、グローバル管理者ロールを割り当てます。

ユーザーにグローバル アクセスを与えすぎるとセキュリティ リスクが発生し、2 人から 4 人のグローバル管理者が存在することをお勧めします。

グローバル管理者のみが、以下の操作を実行できます。
- すべてのユーザーのパスワードをリセットする
- ドメインを追加および管理する
- 別のグローバル管理者のブロックを解除する

メモ:Microsoft オンライン サービスにサインアップしたユーザーは、自動的にグローバル管理者になります。
グローバル閲覧者 グローバル管理者が表示できる管理センターの管理機能および設定を表示する必要があるユーザーに、グローバル閲覧者ロールを割り当てます。 グローバル閲覧者管理者は、設定を編集できません。
グループ管理者 Microsoft 365 管理センターやMicrosoft Entra 管理センターなど、管理センター全体のすべてのグループ設定を管理する必要があるユーザーにグループ管理者ロールを割り当てます。

グループ管理者は、以下の操作を実行できます。
- Microsoft 365 グループの作成、編集、削除、復元
- グループの作成、有効期限、および名前付けポリシーの作成および更新
- セキュリティ グループの作成、編集、削除、復元Microsoft Entra
ヘルプデスク管理者 ヘルプデスク管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- パスワードをリセットする
- ユーザーを強制的にサインアウトさせる
- サービス リクエストを管理する
- サービス正常性を監視する

: ヘルプデスク管理者は、管理者以外のユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割に割り当てられたユーザーのみを支援できます。
ライセンス管理者 ユーザーのライセンスの割り当てと削除を行い、利用場所を編集する必要があるユーザーに、ライセンス管理者ロールを割り当てます。

ライセンス管理者は、以下のことも実行できます。
- グループベースのライセンスのライセンス割り当てを再処理する
- グループベースのライセンス用にグループに製品ライセンスを割り当てる
メッセージ センターのプライバシー閲覧者 Microsoft 365 メッセージ センターでプライバシーとセキュリティのメッセージと更新プログラムを読み取る必要があるユーザーに、メッセージ センターのプライバシー閲覧者ロールを割り当てます。 メッセージ センターのプライバシー閲覧者は、ユーザー設定に応じてデータのプライバシーに関連するメール通知を受け取り、メッセージ センターのユーザー設定を使用して登録を解除できます。 データ プライバシー メッセージを読み取ることができるのは、グローバル管理者とメッセージ センターのプライバシー閲覧者のみです。 このロールには、サービス要求を表示、作成、または管理するアクセス許可がありません。

メッセージ センターのプライバシー閲覧者は、次のことも可能です。
- データ プライバシー メッセージを含め、メッセージ センター内のすべての通知を監視する
- グループ、ドメイン、サブスクリプションを表示する
メッセージ センター閲覧者 メッセージ センター閲覧者のロールは、以下の操作を行う必要があるユーザーに割り当てます。
- メッセージ センターの通知の監視
- メッセージ センターの投稿と更新情報の週単位のメール ダイジェストの取得
- メッセージ センターの投稿の共有
- ユーザーやグループなどのMicrosoft Entra サービスへの読み取り専用アクセス権を持つ
移行管理者 次のタスクを実行する必要があるユーザーに Microsoft 365 移行管理者ロールを割り当てます。
- Microsoft 365 管理センターの移行マネージャーを使用して、Google ドライブ、Dropbox、Box などのさまざまなソースから、Teams、OneDrive for Business、SharePoint サイトを含む Microsoft 365 へのコンテンツ移行を管理します。
- 移行ソースの選択、移行インベントリの作成 (Google Drive ユーザー リストなど)、移行のスケジュールと実行、レポートのダウンロード。
- 移行先サイトがまだ存在しない場合は新しい SharePoint サイトを作成し、SharePoint 管理サイトの下に SharePoint リストを作成し、SharePoint リストでアイテムを作成および更新します。
- タスクの移行プロジェクト設定と移行ライフサイクルを管理し、ソースから宛先へのアクセス許可マッピングを管理します。
メモ: このロールでは、Google ドライブ、Box、Dropbox、Egnyte からのみ移行できます。 このロールでは、SharePoint 管理センターからファイル共有ソースから移行することはできません。 SharePoint 管理者またはグローバル管理者を使用して、ファイル共有ソースから移行します。
Office アプリ管理者 Office アプリ管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- Microsoft 365 のクラウド ポリシー サービスを使用して、クラウドベースのポリシーを作成および管理します。
- サービス リクエストを作成および管理する
- ユーザーが Microsoft 365 アプリに表示する新機能のコンテンツを管理する
- サービス正常性を監視する
組織のメッセージ ライター Microsoft 製品サーフェスを介してエンド ユーザーの組織メッセージを書き込み、発行、管理、および確認する必要があるユーザーに、組織のメッセージ ライター ロールを割り当てます。
パスワード管理者 非管理者およびパスワード管理者のパスワードを再設定する必要があるユーザーに、パスワード管理者ロールを割り当てます。
Power プラットフォーム管理者 Power プラットフォーム管理者ロールは、以下の操作を行う必要があるユーザーに割り当てます。
- Power Apps、Power Automate、Power BI、Microsoft Fabric、Microsoft Purview データ損失防止のすべての管理機能を管理する
- サービス リクエストを作成および管理する
- サービス正常性を監視する
レポート閲覧者 レポート閲覧者のロールは、以下の操作を行う必要があるユーザーに割り当てます。
Microsoft 365 管理センターで利用データとアクティビティ レポートを表示する
- Power BI 導入コンテンツ パックへのアクセスする
- Microsoft Entra IDのサインイン レポートとアクティビティにアクセスする
- Microsoft Graph レポート API の返すデータを表示する
検索管理者 検索結果コンテンツを作成および管理し、organization内の検索結果を改善するためのクエリ設定を定義する必要があるユーザーに、検索管理者ロールを割り当てます。 検索管理者は、Microsoft 検索構成を管理し、検索エディターで実行できるすべてのコンテンツ管理タスクを実行できます。
サービス サポート管理者 通常の管理者ロールに加え、次の操作を行う必要がある管理者またはユーザーに、追加のロールとしてサービス サポート管理者ロールを割り当てます。
- サービス リクエストを開いて管理する
- メッセージ センターの投稿を表示して共有する
- サービス正常性を監視する
SharePoint 管理者 SharePoint 管理者ロールは、SharePoint Online 管理センターにアクセスして管理する必要があるユーザーに割り当てます。

SharePoint 管理者は、以下のことも実行できます。
- サイトを作成および削除する
- サイト コレクションとグローバル SharePoint 設定を管理する
Teams 管理者 Teams 管理者ロールは、Teams 管理センターにアクセスして管理する必要があるユーザーに割り当てます。

Teams 管理者は、以下のことも実行できます。
- 会議を管理する
- 会議ブリッジを管理する
- フェデレーション、Teams のアップグレード、Teams クライアントの設定を含む組織全体にわたる設定を管理する
ユーザー管理者 ユーザー管理者ロールは、すべてのユーザーに対して以下の操作を行う必要があるユーザーに割り当てます。
- ユーザーおよびグループを追加する
- ライセンスを割り当てる
- ほとんどのユーザー プロパティを管理する
ユーザー ビューを作成および管理する
パスワードの有効期限ポリシーを更新する
- サービス リクエストを管理する
- サービス正常性を監視する

ユーザー管理者は、管理者ではないユーザー、およびディレクトリ閲覧者、ゲスト招待者、ヘルプデスク管理者、メッセージ センター閲覧者、レポート閲覧者の役割が割り当てられているユーザーに対して、以下の操作を行うこともできます。
- ユーザー名を管理する
- ユーザーを削除および復元する
- パスワードをリセットする
- ユーザーを強制的にサインアウトさせる
- (FIDO) デバイス キーを更新する
ユーザー エクスペリエンス サクセス Åマネージャー Microsoft 365 管理センターの Experience Insights、導入スコア、およびメッセージ センターにアクセスする必要があるユーザーに、User Experience Success Manager ロールを割り当てます。 このロールには、使用状況の概要レポート閲覧者ロールのアクセス許可が含まれます。

M365 管理 ページ管理ロールとグループの種類に基づくアクセス許可

管理 ロール M365 グループ セキュリティ グループ 動的配布グループ メールが有効なセキュリティ グループ
グローバル管理者 作成、読み取り、更新、削除 作成、読み取り、更新、削除 作成、読み取り、更新、削除 作成、読み取り、更新、削除
グローバル閲覧者 読み取り 読み取り 読み取り 読み取り
ユーザー管理者 作成、読み取り、更新、削除、 EXO プロパティを更新できない 作成、読み取り、更新、削除 読み取り 読み取り
Exchange 管理者 作成、読み取り、更新、削除 作成、読み取り、更新、削除 - 所有するグループのみ 作成、読み取り、更新、削除 作成、読み取り、更新、削除
Teams 管理者 作成、読み取り、更新、削除、 EXO プロパティを更新できない 作成、読み取り、更新、削除 - 所有するグループのみ 読み取り 読み取り
SharePoint 管理者 作成、読み取り、更新、削除、 EXO プロパティを更新できない 所有するグループの作成、読み取り、更新、削除 読み取り 読み取り
課金管理者 読み取り 読み取り 読み取り 読み取り
Skype 管理者 読み取り 読み取り 読み取り 読み取り
サービス管理者 読み取り 読み取り 読み取り 読み取り
グループ管理者 作成、読み取り、更新、削除、 EXO プロパティを更新できない 作成、読み取り、更新、削除 読み取り 読み取り

Microsoft パートナーの代理管理

Microsoft パートナーと連携している場合、パートナーに管理者ロールを割り当てることができます。 次に、彼らはあなたの会社のユーザーまたはその会社の管理者ロールを割り当てることができます。 パートナーがオンライン organizationを設定して管理している場合は、管理者ロールをパートナーに割り当てることができます。

パートナーは、次の役割を割り当てることができます。

  • 管理エージェント パートナー センターを介した多要素認証の管理を除いた、グローバル管理者と同等の特権を持ちます。

  • ヘルプデスク エージェント ヘルプデスク管理者と同等の特権を持ちます。

パートナーがこれらの役割をユーザーに割り当てる前に、パートナーを代理管理者としてアカウントに追加する必要があります。 パートナーは承認されたパートナーである必要があります。 パートナーは管理者に電子メールを送信し、代理管理者となる権限を割り当てるかどうか質問します。手順については、「パートナー リレーションシップの承認または削除」を参照してください。

ボリューム ライセンス ロール

Microsoft 365 管理センターのボリューム ライセンス情報に対するアクセス許可は、VLSC ではなくMicrosoft 365 管理センターの機能を主に使用する VL ロールの場合でも、ボリューム ライセンス サービス センター (VLSC) の VL 契約管理者によって制御されます。

  • ボリューム ライセンス (VL) の一部の機能は、ボリューム ライセンス ユーザーにのみ表示される新しいボリューム ライセンス ブレードのMicrosoft 365 管理センターで使用できるようになりました。

  • ボリューム ライセンスユーザーには、他のMicrosoft 365 管理センター情報や機能は表示されません。

  • Microsoft 365 管理センターグローバル管理者は VL ユーザーのアクセス許可を割り当てる役割を持たせず、ボリューム ライセンス ブレードを表示するために VL ユーザーに管理者アクセス許可を割り当てる必要はありません。

  • ボリューム ライセンス ユーザーは、ボリューム ライセンス サービス センター (VLSC) に最初に登録する必要があります。ボリューム ライセンス機能のすべてのロールとアクセス許可が管理されます。

  • Microsoft 365 管理センターのボリューム ライセンスの詳細については、「ボリューム ライセンス サービス センターについてよく寄せられる質問」を参照するか、ボリューム ライセンス サービス チームにお問い合わせください

管理者の役割を割り当てる (記事)
Microsoft 365 管理センターでのロールのMicrosoft Entra (記事)
Microsoft 365 管理センターのアクティビティ レポート (記事)
Exchange Online 管理者の役割 (記事)