Informatie over beheerdersrollen

Het Microsoft 365- of Office 365-abonnement wordt geleverd met een set beheerdersrollen die u kunt toewijzen aan gebruikers in uw organisatie met behulp van het Microsoft 365-beheercentrum. Elke beheerdersrol wordt toegewezen aan algemene bedrijfsfuncties en machtigt personen in uw organisatie om specifieke taken in de beheercentra uit te voeren.

In het Microsoft 365-beheercentrum kunt u Azure AD- en Microsoft Intune-rollen beheren. Deze rollen vormen echter een subset van de rollen die beschikbaar zijn in de Azure-Portal en het Intune-beheercentrum.

Voordat u begint

Zoekt u een volledige lijst met uitgebreide beschrijvingen van Azure AD-rollen die u kunt beheren in het Microsoft 365-Beheercentrum? Bekijk de machtigingen voor de beheerdersrol in Azure Active Directory. Machtigingen voor de beheerdersrol in Azure Active Directory.

Zoekt u een volledige lijst met uitgebreide beschrijvingen van Intune-rollen die u kunt beheren in het Microsoft 365-Beheercentrum? Bekijk op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.

Zie beheerdersrollen toewijzenvoor meer informatie over het toewijzen van rollen in het Microsoft 365-beheercentrum.

Bekijk: Wat is een beheerder?

Beveiligingsrichtlijnen voor het toewijzen van rollen

Omdat beheerders toegang hebben tot gevoelige gegevens en bestanden, raden we u aan deze richtlijnen te volgen om de gegevens van uw organisatie veiliger te houden.

Aanbeveling Waarom is dit belangrijk?
Zet twee tot vier globale beheerders in Omdat alleen een andere globale beheerder het wachtwoord van een globale beheerder opnieuw kan instellen, raden wij u aan om ten minste twee globale beheerders in uw organisatie te hebben in geval van accountvergrendeling. Maar de globale beheerder heeft bijna onbeperkte toegang tot de instellingen van uw organisatie en de meeste gegevens. Wij raden u dan ook aan niet meer dan vier globale beheerders te hebben, omdat dit een beveiligingsrisico vormt.
De minste strikte functie toewijzen Het toewijzen van de minste strikte rol betekent dat beheerders alleen de toegang krijgen die ze nodig hebben om de taak uit te voeren. Als u bijvoorbeeld wilt dat iemand de wachtwoorden van werknemers opnieuw instelt, moet u geen onbeperkte globale beheerdersrol toewijzen, maar een beperkte beheerdersrol zoals Wachtwoordbeheerder of Helpdesk-beheerder. Dit helpt uw gegevens veilig te houden.
Meervoudige verificatie (MFA) voor beheerders vereisen Het is een goed idee om MFA te vereisen voor al uw gebruikers, maar beheerders moeten beslist verplicht worden om MFA te gebruiken om in te loggen. Met MFA doorlopen gebruikers een tweede identificatiemethode, om te verifiëren dat ze zijn wie ze zeggen dat ze zijn. Beheerders kunnen toegang hebben tot veel klant- en werknemersgegevens en als u MFA vereist, is het wachtwoord nutteloos zonder de tweede vorm van identificatie, zelfs als het wachtwoord van de beheerder wordt gecompromitteerd.

Wanneer u MFA inschakelt, moet de gebruiker de volgende keer dat deze zich aanmeldt een alternatief e-mailadres en telefoonnummer opgeven voor accountherstel.
Meervoudige verificatie instellen

Als er een bericht wordt weergegeven in het Beheercentrum waarin wordt aangegeven dat u geen machtigingen hebt om een instelling of pagina te bewerken, komt dit omdat u een rol hebt toegewezen gekregen die deze machtiging niet omvat.

Veelgebruikte rollen in het Microsoft 365-Beheercentrum

In het Microsoft 365-beheercentrum kunt u naar Rollen gaan en vervolgens een rol selecteren om het detailvenster te openen. Selecteer het tabblad Machtigingen om de gedetailleerde takenlijst weer te geven met wat de beheerders die aan die rol zijn toegewezen kunnen doen. Selecteer het tabblad toegewezen of toegewezen beheerders om gebruikers toe te voegen aan rollen.

Waarschijnlijk hoeft u alleen de volgende rollen in uw organisatie toe te wijzen. Standaard tonen we eerst de rollen die de meeste organisaties gebruiken. Als u een rol niet kunt vinden, gaat u naar het einde van de lijst en selecteert u Alles weergeven per categorie. (Zie machtigingen voor beheerdersrol in Azure Active Directoryvoor meer informatie, waaronder de cmdlets die zijn gekoppeld aan een rol.)

Beheerdersrol Aan wie moet deze rol worden toegewezen?
Factureringsbeheerder Wijs de beheerdersrol Facturering toe aan gebruikers die aankopen doen, abonnementen en serviceaanvragen beheren en de servicestatus controleren.

Factureringsbeheerders kunnen ook:
- Alle aspecten van facturering beheren
- Ondersteuningstickets maken en beheren in de Azure-portal
Exchange-beheerder Wijs de Exchange-beheerdersrol toe aan gebruikers die de e-mailpostvakken, Microsoft 365-groepen en Exchange Online van uw gebruikers moeten kunnen bekijken en beheren.

Exchange-beheerders kunnen ook het volgende doen:
- Verwijderde items herstellen in het postvak van een gebruiker
Gedelegeerden instellen voor 'Verzenden als' en 'Verzenden namens'.
Algemene beheerder Wijs de Globale beheerdersrol toe aan gebruikers die wereldwijde toegang nodig hebben tot de meeste beheerfuncties en -gegevens via Microsoft online services.

Te veel gebruikers globale toegang geven is een beveiligingsrisico, we raden u dan ook aan om 2 tot 4 globale beheerders te hebben.

Alleen globale beheerders kunnen het volgende doen:
- Wachtwoorden voor alle gebruikers opnieuw instellen
- Domeinen toevoegen en beheren

Opmerking: de persoon die zich heeft geregistreerd voor Microsoft Online Services, wordt automatisch een globale beheerder.
Algemene lezer Wijs de rol van globale lezer toe aan gebruikers die beheerdersfuncties en -instellingen moeten bekijken in beheercentra die de globale beheerder kan zien. De globale beheerder kan deze instellingen niet bewerken.
Groepsbeheerder Wijs de groepsbeheerdersrol toe aan gebruikers die alle groepsinstellingen in alle beheercentra moeten beheren, inclusief het Microsoft 365-Beheercentrum en de Azure Active Directory-Portal.

Groepsbeheerders kunnen het volgende doen:
- Microsoft 365-groepen maken, bewerken, verwijderen en herstellen
- Beleid voor het maken, verlopen en benoemen van groepen maken en bijwerken
- Azure Active Directory-beveiligingsgroepen maken, bewerken, verwijderen en herstellen
Helpdesk-beheerder Wijs de beheerdersrol Helpdesk toe aan gebruikers die de volgende taken moeten uitvoeren:
- Wachtwoorden opnieuw instellen
- Gebruikers dwingen zich af te melden
- Serviceaanvragen beheren
- De servicestatus bewaken

Opmerking: de Helpdesk-beheerder kan alleen niet-beheerders helpen en gebruikers die deze rollen hebben toegewezen: Directory-lezer, Gast-invite, Helpdesk-beheerder, Berichtencentrum-lezer en Rapportlezer.
Licentiebeheerder Wijs de beheerdersrol Licenties toe aan gebruikers die licenties van gebruikers moeten toewijzen en verwijderen en hun gebruikslocatie moeten bewerken.

Licentiebeheerders kunnen ook:
- Licentietoewijzingen voor groepslicenties opnieuw verwerken
- Productlicenties toewijzen aan groepen voor groepslicenties
Office-apps beheerder Wijs de beheerdersrol Office Apps toe aan gebruikers die de volgende taken moeten uitvoeren:
- Gebruik de Office-cloudbeleidservice om cloudgebaseerd beleid voor Office te maken en te beheren
- Serviceaanvragen maken en beheren
- Inhoud over nieuwe functies beheren die gebruikers in hun Office-apps zien
- De servicestatus bewaken
Wachtwoordbeheerder Wijs de beheerdersrol Wachtwoorden toe aan een gebruiker die wachtwoorden voor niet-beheerders en wachtwoordbeheerders opnieuw moet instellen.
Berichtencentrumlezer Wijs de lezersrol Berichtencentrum toe aan gebruikers die het volgende moeten doen:
- Meldingen van het berichtencentrum monitoren
- Wekelijkse samenvattingen per e-mail ontvangen met posts en updates van het berichtencentrum
- Posts uit het berichtencentrum delen
- Alleen-lezen-toegang hebben tot Azure AD-services, zoals gebruikers en groepen
Power Platform-beheerder Wijs de beheerdersrol Power Platform toe aan gebruikers die het volgende moeten doen:
- Alle beheerfuncties voor Power-apps, Power Automate en preventie van gegevensverlies beheren
- Serviceaanvragen maken en beheren
- De servicestatus monitoren
Rapportenlezer Wijs de Rapportenlezersrol toe aan gebruikers die het volgende moeten doen:
- Gebruiksgegevens en de activiteitenrapporten bekijken in het Microsoft 365-beheercentrum
- Toegang krijgen tot het Power BI-inhoudspakket voor ingebruikname
- Toegang krijgen tot aanmeldrapporten en -activiteit in Azure AD
- Gegevens bekijken die worden geretourneerd door de Microsoft Graph-rapportage-API
Serviceondersteuningsbeheer Wijs de beheerdersrol Serviceondersteuning als een extra rol toe aan beheerders of gebruikers die het volgende moeten doen als aanvulling op hun normale beheerdersrol:
- Serviceaanvragen openen en beheren
- Berichten in het berichtencentrum bekijken en delen
- De servicestatus bewaken
SharePoint-beheerder Wijs de SharePoint-beheerdersrol toe aan gebruikers die het SharePoint Online-beheercentrum moeten openen en beheren.

SharePoint-beheerders kunnen ook het volgende doen:
- Sites maken en verwijderen
- Siteverzamelingen en wereldwijde SharePoint-instellingen beheren
Teams-servicebeheerder Wijs de rol Teams-servicebeheerder toe aan gebruikers die het Teams-beheercentrum moeten openen en beheren.

Teams-servicebeheerders kunnen ook:
- Vergaderingen beheren
- Vergaderbruggen beheren
- Alle organisatiebrede instellingen beheren, inclusief federatie, Teams-upgrade en Teams-clientinstellingen
Gebruikersbeheerder Wijs de beheerdersrol Gebruikers toe aan gebruikers die de voor alle gebruikers de volgende taken moeten uitvoeren:
- Gebruikers en groepen toevoegen
- Licenties toewijzen
- De meeste gebruikerseigenschappen beheren
- Gebruikersweergaven maken en beheren
- Verloopbeleid voor wachtwoorden bijwerken
- Serviceaanvragen beheren
- De servicestatus bewaken

De gebruikersbeheerder kan ook de volgende acties uitvoeren voor gebruikers die geen beheerders zijn en voor gebruikers die de volgende rollen hebben gekregen: adreslijst lezer, gast invite, helpdesk-beheerder, Message Center Reader, rapportlezer:
- Gebruikersnamen beheren
- Gebruikers verwijderen en herstellen
- Wachtwoorden opnieuw instellen
- Gebruikers dwingen zich af te melden
- Apparaatsleutels bijwerken (FIDO)

Gedelegeerd beheer voor Microsoft-partners

Als u met een Microsoft-partner werkt, kunt u aan uw partner beheerdersrollen toewijzen. Deze kan op zijn beurt gebruikers in uw bedrijf, of zijn bedrijf, beheerdersrollen toewijzen. Soms wilt u dat uw partner dit doet, bijvoorbeeld als deze uw online organisatie voor u instelt en beheert.

Een partner kan deze rollen toewijzen:

  • Admin Agent Bevoegdheden vergelijkbaar met die van een globale beheerder, met uitzondering van het beheren van meervoudige verificatie via het Partnercentrum.

  • Helpdesk Agent Bevoegdheden vergelijkbaar met die van een helpdesk-beheerder.

Voordat de partner deze rollen aan gebruikers kan toewijzen, moet u de partner als gedelegeerde beheerder aan uw account toevoegen. Dit proces wordt geïnitieerd door een geautoriseerde partner. De partner stuurt u een e-mailbericht waarin u wordt gevraagd of u de partner toestemming wilt geven om te fungeren als gedelegeerde beheerder. Zie Partnerrelaties autoriseren of verwijderenvoor instructies.

Beheerdersrollen toewijzen (artikel)
Informatie over Azure AD-rollen in het Microsoft 365-beheercentrum (artikel)
Activiteitenrapporten in het Microsoft 365-beheercentrum (artikel)
Exchange Online-beheerdersrol (artikel)