Om administratörsroller

Microsoft 365- eller Office 365-prenumeration innehåller en uppsättning administratörsroller som du kan tilldela användare i din organisation med Administrationscenter för Microsoft 365. Varje administratörsroll mappar till vanliga affärsfunktioner och ger personerna i din organisation behörighet att utföra särskilda uppgifter i administrationscentret.

I Administrationscenter för Microsoft 365 kan du hantera Azure AD-roller och Microsoft Intune-roller. Dessa roller är dock en deluppsättning av rollerna som finns tillgängliga i Azure Active Directory-portalen och administrationscentret för Intune.

Titta: Vad är en administratör?

  1. Om du är inloggad i Microsoft 365 väljer du startikonen för appen. Om ser knappen Administratör så är du administratör.
  2. Välj Admin för att gå till administrationscentret för Microsoft 365.
  3. Välj Användare > Aktiva användare i det vänstra navigeringsfönstret.
  4. Välj den person som du vill göra till administratör. Användarens information visas i den högra dialogrutan.

Innan du börjar

Vill du ha en komplett lista över detaljerade Azure AD-rollbeskrivningar som du kan hantera i Administrationscenter för Microsoft 365? Ta en titt på Administratörens rollbehörigheter i Azure Active Directory. inbyggda Roller i Azure AD.

Vill du ha en komplett lista över detaljerade Intune-rollbeskrivningar som du kan hantera i Administrationscenter för Microsoft 365? Ta en titt på Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.

Mer information om hur du tilldelar roller i Administrationscenter för Microsoft 365 finns i Tilldela administratörsroller.

Säkerhetsriktinjer för tilldelning av roller

Eftersom administratörer har tillgång till känsliga data och filer rekommenderar vi att du följer dessa riktlinjer för att skydda organisationens data.

Rekommendation Varför är det viktigt?
Ha 2 till 4 globala administratörer Eftersom det bara är en global administratör som kan återställa lösenordet för en annan global administratör så rekommenderar vi att du har minst 2 globala administratörer i organisationen i händelse av kontoutelåsning. Men globala administratörer har nästan obegränsad åtkomst till organisationens inställningar och de flesta data, därför rekommenderar vi att du inte har fler än fyra globala administratörer eftersom det är ett säkerhetshot.
Tilldela begränsade roller Genom att tilldela begränsade roller får administratörerna bara den behörighet som behövs för att få jobbet gjort. Om du till exempel vill att någon ska återställa lösenord för anställda bör du inte tilldela den obegränsade rollen som global administratör, i stället kan du tilldela en begränsad roll som lösenordsadministratör eller supportadministratör. På så sätt skyddar du dina data.
Konfigurera multifaktorautentisering för administratörer Det är en bra idé att kräva MFA för alla användare, men administratörer i synnerhet bör använda MFA för att logga in. MFA gör att användarna måste använda ytterligare en identifieringsmetod för att verifiera sin identitet. Administratörer kan ha tillgång till stora mängder kund- och personaldata och om du använder MFA är själva lösenordet oanvändbart utan en andra verifiering i händelse av att administratörslösenordet äventyras.

När du aktiverar MFA måste användaren ange en alternativ e-postadress och ett telefonnummer för kontoåterställning nästa gång användaren loggar in.
Konfigurera multifaktorautentisering

Om du får ett meddelande i administrationscentret om att du inte har behörighet att redigera inställningar eller sidor beror det på att du har tilldelats en roll som inte har den behörigheten.

Vanliga roller för administrationscenter för Microsoft 365

I Administrationscentret för Microsoft 365 går du till Rolltilldelningar och väljer sedan en roll för att öppna informationsfönstret. Välj fliken Behörigheter om du vill visa en detaljerad lista över vilka behörigheter som administratörer som tilldelats rollen har. Välj fliken Tilldelad eller Tilldelade administratörer om du vill lägga till användare i roller.

Du behöver antagligen bara tilldela följande roller i organisationen. Som standard visar vi först de roller som de flesta organisationer använder. Om du inte hittar någon roll går du till slutet av listan och väljer Visa alla efter kategori. (Detaljerad information, inklusive de cmdletar som är associerade med en roll, finns i inbyggda Roller i Azure AD.)

Administratörsroll Vem ska ha tilldelas denna roll?
Faktureringsadministratör Tilldela rollen faktureringsadministratör till användare som gör inköp, hanterar prenumerationer och tjänsteförfrågningar och övervakar tjänststatus.

Faktureringsadministratörer kan även:
– Hantera alla aspekter av fakturering
– Skapa och hantera supportärenden i Azure Portal
Exchange-administratör Tilldela rollen som Exchange-administratör till användare som behöver visa och hantera postlådor, Microsoft 365-grupper och Exchange Online som tillhör din användare.

Exchange-administratörer kan även:
– Återskapa borttagna objekt i en användares postlåda
– Konfigurera ombud av typerna "Skicka som" och "Skicka för"
Global administratör Tilldela rollen som global administratör till användare som behöver global åtkomst till de flesta hanteringsfunktioner och data i Microsoft Online Services.

Att ge för många användare global åtkomst är en säkerhetsrisk och vi rekommenderar att du har mellan två och fyra globala administratörer.

Det är bara globala administratörer som kan:
– Återställa lösenord för alla användare
– Lägga till och hantera domäner

Obs! Den person som har registrerat sig för Microsoft Online Services blir automatiskt global administratör.
Global läsare Tilldela rollen global läsare till användare som behöver visa administratörsfunktioner och -inställningar i administrationscenter som den globala administratören kan visa. Den globala läsaradministratören kan inte ändra några inställningar.
Grupper-administratör Tilldelar gruppadministratörsrollen till användare som behöver hantera alla gruppinställningar i olika administrationscenter, inklusive administrationscentret för Microsoft 365 och Azure Active Directory-portalen.

Grupper-administratörer kan:
– Skapa, redigera, ta bort och återställa Microsoft 365-grupper
– Skapa och uppdatera skapande, upphörande och namngivningsprinciper för grupper
– Skapa, redigera, ta bort och återställa Azure Active Directory-säkerhetsgrupper
Supportadministratör Tilldela rollen som supportadministratör till användare som behöver göra följande:
– Återställa lösenord
– Tvinga att användare loggar ut
– Hantera tjänsteförfrågningar
– Övervaka tjänstens status

Obs! Supportadministratören kan bara hjälpa användare som inte är administratörer och användare som tilldelats följande roller: katalogläsare, gästinbjudare, supportadministratör, meddelandecenter-administratör och rapportläsare.
Licensadministratör Tilldela rollen licensadministratör till användare som behöver tilldela och ta bort licenser från användare och redigera deras användningsplats.

Licensadministratörer kan även:
– Omarbeta licensuppdrag för gruppbaserad licensiering
– Tilldela produktlicenser till grupper för gruppbaserad licensiering
Administratör för Office-program Tilldela rollen som administratör för Office-program till användare som behöver göra följande:
– Använda tjänsten för molnprinciper i Office för att skapa och hantera molnbaserade principer för Office
– Skapa och hantera tjänsteförfrågningar
– Hantera nyhetsinnehållet som användarna ser i sina Office-program
– Övervaka tjänstens status
Lösenordsadministratör Tilldela rollen lösenordsadministratör till en användare som behöver återställa lösenord för icke-administratörer och lösenordsadministratörer.
Läsare i Meddelandecenter Tilldela läsarrollen i Meddelandecenter till användare som behöver göra följande:
– Övervaka meddelanden i meddelandecentret
– Få veckovisa e-postmeddelanden med inlägg och uppdateringar i meddelandecentret
– Dela inlägg i Meddelandecenter
– Ha skrivskyddad åtkomst till Azure AD-tjänster, till exempel användare och grupper
Administratör för Power Platform Tilldela Power Platform administratörsrollen till användare som behöver göra följande:
– Hantera alla administrativa funktioner för PowerApps, Power Automate och dataförlustskydd
– Skapa och hantera tjänsteförfrågningar
– Övervaka tjänstens status
Rapportläsare Tilldela rollen som rapportläsare till användare som behöver göra följande:
– Visa användningsdata och aktivitetsrapporterna i administrationscentret för Microsoft 365
– Få tillgång till innehållspaketet för införande av Power BI
– Få åtkomst till inloggningsrapporter och -aktivitet i Azure AD
– Visa data som returneras av rapporterings-API i Microsoft Graph
Supportadministratör för tjänst Tilldela rollen Tjänstsupportadministratör som en extra-roll för administratörer eller användare som behöver göra följande utöver deras vanliga administratörsroll:
– Öppna och hantera tjänsteförfrågningar
– Visa och dela inlägg från meddelandecenter
– Övervaka tjänstens status
SharePoint-administratör Tilldela SharePoint-administratörsrollen till användare som behöver åtkomst till och behöver hantera administrationscentret för SharePoint Online.

SharePoint-administratörer kan även:
– Skapa och ta bort webbplatser
– Hantera webbplatssamlingar och globala SharePoint-inställningar
Teams-administratör Tilldela Teams-administratörsrollen till användare som behöver komma åt och hantera administrationscentret för Teams.

Teams-administratören kan också:
– Hantera möten
– Hantera konferensbryggor
– Hantera alla organisationsomfattande inställningar, inklusive inställningar för federation, team-uppgradering och team-klienter
Användaradministratör Tilldela rollen som användaradministratör till användare som behöver göra följande för alla användare:
– Lägga till användare och grupper
– Tilldela licenser
– Hantera de flesta användaregenskaper
– Skapa och hantera användarvyer
– Uppdatera giltighetsprinciper för lösenord
– Hantera tjänsteförfrågningar
– Övervaka tjänstens status

Användaradministratören kan också utföra följande åtgärder för användare som inte är administratörer och för användare som har tilldelats följande roller: katalogläsare, gästinbjudare, supportadministratör, meddelandecenter-administratör, rapportläsare:
– Hantera användarnamn
– Ta bort och återställa användare
– Återställa lösenord
– Tvinga att användare loggar ut
– Uppdatera enhetsnycklar (FIDO)

Delegerad administration för Microsoft-partners

Om du arbetar med en Microsoft-partner kan du tilldela dem administratörsroller. De kan i sin tur tilldela användare i ditt företag, eller i sitt företag, administratörsroller. Det kanske du vill göra om de till exempel konfigurerar och hanterar din onlineorganisation åt dig.

Ett partnerföretag kan tilldela följande roller:

  • Administratörsagent Behörigheter som en global administratör, förutom behörighet att hantera flerfaktorautentisering via partnercentret.

  • Supportagent Behörigheter som en supportadministratör.

För att partnerföretaget ska kunna tilldela de här rollerna till användare måste du lägga till partnern som delegerad administratör i kontot. Initiativet till en sådan här process tas av en auktoriserad partner. Partnern skickar ett e-postmeddelande till dig med frågan om du vill ge dem behörighet att fungera som delegerad administratör. Anvisningar finns i Auktorisera eller ta bort partnerrelationer.

Tilldela administratörsroller (artikel)
Azure AD-roller i administrationscentret för Microsoft 365 (artikel)
Aktivitetsrapporter i Administrationscentret för Microsoft 365 (artikel)
Administratörsrollen i Exchange Online (artikel)