在 Azure Active Directory 中分配管理员角色

https://docs.microsoft.com/zh-cn/azure/active-directory/active-directory-assign-admin-roles 提供以下管理员角色:
  • 计费管理员:进行采购、管理订阅、管理支持票证并监视服务运行状况。
  • 全局管理员/公司管理员:有权访问所有管理功能。 注册 Azure 帐户的人员将成为全局管理员。 只有全局管理员才能分配其他管理员角色。 你的公司中可以有多个全局管理员。

    注意

    在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中,此角色标识为“公司管理员”。 它是 Azure 门户中的“全局管理员”。

  • 合规性管理员:
  • CRM 服务管理员:具有此角色的用户在 Microsoft CRM Online(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。
  • 客户密码箱访问审批人:如果启用了密码箱服务,具有此角色的用户可以审批 Microsoft 工程师访问公司信息的请求。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。
  • 设备管理员:具有此角色的用户将成为已加入 Azure Active Directory 的所有 Windows 10 设备上的管理员。
  • 目录读取者:这是一个遗留的角色,分配给不支持同意框架的应用程序。 不应将它分配给任何用户。
  • 目录同步帐户:请勿使用。 此角色自动分配给 Azure AD Connect 服务,不可用于其他任何用途。
  • 目录写入者:这是一个遗留的角色,分配给不支持同意框架的应用程序。 不应将它分配给任何用户。
  • Exchange 服务管理员:具有此角色的用户在 Microsoft Exchange Online(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。
  • Intune 服务管理员:具有此角色的用户在 Microsoft Intune Online(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。
  • Skype for Business 服务管理员:具有此角色的用户在 Microsoft Skype for Business(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。 此角色以前称为 Lync 服务管理员角色。
  • 来宾邀请者:此角色中的用户可以管理来宾邀请。 它不包括任何其他权限。
  • 密码管理员/支持管理员:重置密码、管理服务请求并监视服务运行状况。 密码管理员只能为用户和其他密码管理员重置密码。

    注意

    在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中,此角色标识为“支持管理员”。

  • SharePoint 服务管理员:具有此角色的用户在 Microsoft SharePoint Online(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。
  • 服务管理员:管理服务请求并监视服务运行状况。

    注意

    若要为用户分配服务管理员角色,全局管理员必须先在服务(例如 Exchange Online)中将管理权限分配给用户,然后再在 Azure 经典门户中将服务管理员角色分配给用户。

  • 用户帐户管理员:重置密码、监视服务运行状况,并管理用户帐户、用户组和服务请求。 用户管理管理员权限存在一些限制。 例如,他们不能删除全局管理员或创建其他管理员。 另外,他们也不能为计费管理员、全局管理员和服务管理员重置密码。
  • 安全读取者:能够以只读方式访问 Identity Protection Center、Privileged Identity Management、监视 Office 365 服务运行状况和 Office 365 安全与合规中心的一些安全功能。
  • 安全管理员:拥有安全读取者角色的所有只读权限,再加上下列相同服务的一些附加管理权限:Identity Protection Center、Privileged Identity Management、监视 Office 365 服务运行状况和 Office 365 安全与合规中心。
  • 管理员权限计费管理员 有权执行的操作无权执行的操作 全局管理员 有权执行的操作无权执行的操作 密码管理员 有权执行的操作无权执行的操作 服务管理员 有权执行的操作无权执行的操作 用户管理员 有权执行的操作无权执行的操作 安全读取者 In有权执行的操作 Identity Protection Center 读取安全功能的所有安全报告和设置信息
    • 反垃圾邮件
    • 加密
    • 数据丢失预防
    • 反恶意软件
    • 高级威胁防护
    • 防网络钓鱼
    • 邮件流规则
    Privileged Identity Management

    以只读方式访问 Azure AD PIM 中所显示的一切信息:Azure AD 角色分配的策略和报告、安全审阅,以及在未来还可通过读取来访问 Azure AD 角色分配以外的方案的策略数据和报告。

    不能注册 Azure AD PIM 或对其进行任何更改。 担任此角色的人员可以在 PIM 的门户中或通过 PowerShell,为其他角色(例如,全局管理员或特权角色管理员)的候选用户激活角色。

    监视 Office 365 服务运行状况

    Office 365 安全与合规中心

    • 读取和管理警报
    • 读取安全策略
    • 读取威胁情报、云应用发现以及搜索和调查中的隔离区
    • 读取所有报告
    安全管理员 In有权执行的操作 Identity Protection Center
    • 安全读取者角色的所有权限。
    • 此外,还能够执行除了重置密码以外的所有 IPC 操作。
    Privileged Identity Management
    • 安全读取者角色的所有权限。
    • 不能管理 Azure AD 角色成员身份或设置。

    监视 Office 365 服务运行状况

    Office 365 安全与合规中心

    • 安全读取者角色的所有权限。
    • 可以配置高级威胁防护功能中的所有设置(恶意软件和病毒保护、恶意 URL 配置、URL 跟踪等)。
    有关全局管理员角色的详细信息全局管理员有权访问所有管理功能。 默认情况下,系统会将注册 Azure 订阅的人员指派为目录的全局管理员角色。 只有全局管理员才能分配其他管理员角色。分配或删除管理员角色
  • 在 Azure 经典门户中,单击“Active Directory”,然后单击所在组织的目录的名称。
  • 在“组织角色”列表中,选择要分配给此用户的管理员角色,或者选择“用户”(如果要删除现有的管理员角色)。
  • 在“备用电子邮件地址”框中键入一个电子邮件地址。 此电子邮件地址用于接收重要通知(包括有关密码自助重置的通知),因此,不管该用户是否能够访问 Azure,都必须能够访问其电子邮件帐户。
  • 选择“允许”或“阻止”以指定是否允许用户登录并访问服务。
  • 从“使用位置”下拉列表中指定位置。
  • 完成后,单击“保存”。
  • 相关内容推荐