在 Azure Active Directory 中分配管理员角色

使用 Azure Active Directory (Azure AD) 时,可以指定不同的管理员来执行不同的功能。 管理员可以按角色访问 Azure 门户中的各种功能:创建或编辑用户、将管理角色分配给他人、重置用户密码、管理用户许可证以及管理域等。 分配为管理员角色的用户在组织所订阅的所有云服务中拥有相同的权限,不管该角色是通过 Office 365 门户、Azure 门户还是用于 Windows PowerShell 的 Azure AD 模块分配的。

详细了解全局管理员角色

全局管理员有权使用所有管理功能。 默认情况下,系统会将注册 Azure 订阅的人员指派为目录的全局管理员角色。 只有全局管理员才能分配其他管理员角色。

分配或删除管理员角色

若要了解如何在 Azure Active Directory 中向用户分配管理角色,请参阅在 Azure Active Directory 中向用户分配管理角色

可用的角色

提供以下管理员角色:

  • 应用程序管理员:此角色中的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 此角色还可以同意委派权限,以及除 Microsoft Graph 和 Azure AD Graph 之外的应用程序权限。 在创建新应用程序注册或企业应用程序时,不会将此角色的成员添加为所有者。

  • 应用程序开发人员:在将设置“用户可以注册应用程序”设置为“否”时,此角色中的用户可以创建应用程序注册。 在设置“用户可以同意应用代表他们访问公司数据”设置为“否”时,此角色还允许成员代表自己授予同意。 在创建新应用程序注册或企业应用程序时,会将此角色的成员添加为所有者。

  • 计费管理员:进行采购、管理订阅、管理支持票证并监视服务运行状况。

  • 云应用程序管理员:此角色中的用户具有与应用程序管理员角色相同的权限,但不包括管理应用程序代理的权限。 此角色授予创建和管理企业应用程序、应用程序注册的所有方面的权限。 此角色还可以同意委派权限,以及除 Microsoft Graph 和 Azure AD Graph 之外的应用程序权限。 在创建新应用程序注册或企业应用程序时,不会将此角色的成员添加为所有者。

  • 合规性管理员:拥有此角色的用户具有 Office 365 安全与合规中心和 Exchange 管理中心中的管理权限。 有关详细信息,请参阅“关于 Office 365 管理员角色”。

  • 条件访问管理员具有此角色的用户可以管理 Azure Active Directory 条件访问设置。

    Note

    若要在 Azure 中部署 Exchange ActiveSync 条件访问策略,用户还必须是全局管理员。

  • 设备管理员:此角色只能作为设备设置中的附加本地管理员进行分配。 拥有此角色的用户成为所有已加入 Azure Active Directory 的 Windows 10 设备上的本地计算机管理员。 他们无权管理 Azure Active Directory 中的设备对象。

  • 目录读取者:这是一个遗留的角色,分配给不支持同意框架的应用程序。 不应将它分配给任何用户。

  • 目录同步帐户:请勿使用。 此角色自动分配给 Azure AD Connect 服务,不可用于其他任何用途。

  • 目录写入者:这是一个遗留的角色,分配给不支持同意框架的应用程序。 不应将它分配给任何用户。

  • Dynamics 365 理员:拥有此角色的用户在 Microsoft Dynamics 365(若有此服务)中拥有全局权限,并能管理支持票证和监视服务运行状况。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

  • Exchange 服务管理员:具有此角色的用户在 Microsoft Exchange Online(如果存在此服务)中拥有全局权限。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

  • 全局管理员/公司管理员/租户管理员:拥有此角色的用户有权使用 Azure Active Directory 中的所有管理功能,以及 Exchange Online、SharePoint Online 和 Skype for Business Online 等与 Azure Active Directory 联合的服务。 注册 Azure Active Directory 租户的人员将成为全局管理员。 只有全局管理员才能分配其他管理员角色。 公司中可以有多个全局管理员。 全局管理员可以为任何用户和所有其他管理员重置密码。

    Note

    在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中,此角色标识为“公司管理员”。 它是 Azure 门户中的“全局管理员”。

  • 来宾邀请者:此角色中的用户可以管理 Azure Active Directory B2B 来宾用户邀请当“邀请成员”用户设置设置为“否”。 它不包括任何其他权限。

  • 信息保护管理员:具有此角色的用户仅对 Azure 信息保护服务具有用户权限。 他们未被授予对 Identity Protection Center、Privileged Identity Management、监视 Office 365 服务运行状况或 Office 365 安全与合规中心的用户权限。 他们可以配置 Azure 信息保护策略的标签、管理保护模板,以及激活保护。

  • Intune 服务管理员:具有此角色的用户在 Microsoft Intune Online(如果存在此服务)中拥有全局权限。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。

  • 邮箱管理员:此角色仅用作 RIM Blackberry 设备的 Exchange Online 电子邮件支持的一部分。 如果组织不在 RIM Blackberry 设备上使用 Exchange Online 电子邮件,请勿使用此角色。

  • 消息中心读者:拥有此角色的用户可以在其组织的 Office 365 消息中心内,监视 Exchange、Intune 和 Microsoft Teams 等已配置服务的通知和公告运行状况更新。 消息中心读者会收到包含帖子和最新动态的每周电子邮件摘要,并能在 Office 365 内共享消息中心帖子。 在 Azure AD 中,分配到此角色的用户对 Azure AD 服务只拥有只读访问权限,如用户和组。

  • 合作伙伴层 1 支持:请勿使用。 此角色已弃用,并将从 Azure AD 中删除。 此角色仅供少数 Microsoft 转售合作伙伴使用,不适用于一般用途。

  • 合作伙伴层 2 支持:请勿使用。 此角色已弃用,并将从 Azure AD 中删除。 此角色仅供少数 Microsoft 转售合作伙伴使用,不适用于一般用途。

  • 密码管理员/支持管理员:具有此角色的用户可以更改密码、管理服务请求和监视服务运行状况。 支持管理员只能为用户和其他支持管理员更改密码。

    Note

    在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中,此角色标识为“支持管理员”。 它是 Azure 门户中的“密码管理员”。

  • Power BI 服务管理员:具有此角色的用户在 Power BI(如果存在此服务)中拥有全局权限,并可以管理支持票证和监视服务运行状况。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

  • 特权角色管理员:具有此角色的用户可以管理角色分配以及 Azure AD Privileged Identity Management 内的 Azure Active Directory。 此外,此角色允许 Privileged Identity Management 的所有方面。

  • 报告读者:具有此角色的用户可以在 Office 365 管理中心查看使用情况报告数据和报告仪表板,在 PowerBI 中查看采用上下文包。 此外,此角色还提供对 Azure AD 中的登录报告和活动以及 Microsoft Graph 报告 API 返回的数据的访问权限。 分配到“报告读者”角色的用户只能访问相关使用情况和采用指标。 它们没有任何管理员权限,无法配置设置或访问产品特定的管理中心(如 Exchange)。

  • 安全管理员:具有此角色的用户具有“安全读取者”角色的所有只读权限,以及能够管理与安全相关的服务配置的能力:Azure Active Directory Identity Protection、Azure 信息保护、Privileged Identity Management 和 Office 365 安全与合规中心。 Office 365 安全与合规中心提供了有关 Office 365 权限的详细信息。

  • 安全读取者:具有此角色的用户具有全局只读访问权限,包括 Azure Active Directory、Identity Protection、Privileged Identity Management,以及能够读取 Azure Active Directory 登录报告和审核日志中的所有信息。 角色还授予 Office 365 安全与合规中心的只读权限。 Office 365 安全与合规中心提供了有关 Office 365 权限的详细信息。

  • 服务支持管理员:具有此角色的用户可以打开支持请求与 Microsoft Azure 和 Office 365 服务和服务仪表板和消息中心在 Azure 门户和 Office 365 管理门户中的视图。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

  • SharePoint 服务管理员:具有此角色的用户在 Microsoft SharePoint Online(如果存在此服务)中拥有全局权限,并可以管理支持票证和监视服务运行状况。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

  • Skype for Business/Lync 服务管理员:具有此角色的用户具有 Microsoft Skype for Business 中的全局权限,以及管理 Azure Active Directory 中的特定于 Skype 的用户属性。 此外,此角色授予管理支持票证并监视服务运行状况的功能。 有关详细信息,请参阅 About Office 365 admin roles(关于 Office 365 管理员角色)。

    Note

    在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中,此角色标识为“Lync 服务管理员”。 它是 Azure 门户中的“Skype for Business 服务管理员”。

  • 用户帐户管理员:具有此角色的用户可以创建和管理用户和组的所有方面。 此外,此角色包括管理支持票证的功能,并监视服务运行状况。 适用某些限制。 例如,此角色不允许删除全局管理员。 用户帐户管理员只能为用户、支持管理员和其他用户帐户管理员更改密码。

管理员权限

应用程序管理员

有权执行的操作 无权执行的操作
读取所有目录信息
创建应用程序注册
更新应用程序注册属性
获取企业应用程序
管理应用程序注册属性
删除应用程序注册
管理企业应用程序单一登录设置
管理企业应用程序预配设置
管理企业应用程序自助服务设置
管理企业应用程序权限设置
管理应用程序访问权限
管理预配设置
删除企业应用程序
代表每个人同意所有委托的权限请求
代表每个人同意除 Azure AD Graph 或 Microsoft Graph 之外的所有应用程序权限请求
管理应用程序代理设置
访问服务设置
监视服务运行状况
管理支持票证
读取隐藏的组成员资格
创建、编辑和删除组
管理用户许可证
使用目录同步
查看登录报告并审核日志

应用程序开发人员

有权执行的操作 无权执行的操作
读取所有目录信息
创建应用程序注册
代表自己同意
查看登录并审核日志
读取隐藏的组成员资格

计费管理员

有权执行的操作 无权执行的操作

查看公司信息和用户信息

管理 Office 支持票证

为 Office 产品执行计费和采购操作

重置用户密码

创建和管理用户视图

创建、编辑和删除用户与组,以及管理用户许可证

管理域

管理公司信息

向其他人委派管理角色

使用目录同步

查看审核日志

云应用管理员

有权执行的操作 无权执行的操作
读取所有目录信息
创建应用程序注册
更新应用程序注册属性
获取企业应用程序
管理应用程序注册属性
删除应用程序注册
管理企业应用程序单一登录设置
管理企业应用程序预配设置
管理企业应用程序自助服务设置
管理企业应用程序权限设置
管理应用程序访问权限
管理预配设置
删除企业应用程序
代表每个人同意所有委托的权限请求
代表每个人同意除 Azure AD Graph 或 Microsoft Graph 之外的所有应用程序权限请求
访问服务设置
监视服务运行状况
管理支持票证
读取隐藏的组成员资格
管理应用程序代理设置
创建、编辑和删除组
管理用户许可证
使用目录同步
查看登录报告并审核日志

条件访问管理员

有权执行的操作 无权执行的操作

查看公司信息和用户信息

管理条件访问设置

重置用户密码

创建和管理用户视图

创建、编辑和删除用户与组,以及管理用户许可证

管理域

管理公司信息

向其他人委派管理角色

使用目录同步

查看审核日志

全局管理员角色

有权执行的操作 无权执行的操作

查看公司信息和用户信息

管理 Office 支持票证

为 Office 产品执行计费和采购操作

重置用户密码

重置其他管理员的密码

创建和管理用户视图

创建、编辑和删除用户与组,以及管理用户许可证

管理域

管理公司信息

向其他人委派管理角色

使用目录同步

启用或禁用多重身份验证

查看审核日志

不适用

密码管理员/支持人员管理员

有权执行的操作 无权执行的操作

查看公司信息和用户信息

管理 Office 支持票证

只能为用户和其他支持管理员更改密码

为 Office 产品执行计费和采购操作

创建和管理用户视图

创建、编辑和删除用户与组,以及管理用户许可证

管理域

管理公司信息

向其他人委派管理角色

使用目录同步

查看报告

信息保护管理员

In 有权执行的操作
Azure 信息保护
  • 配置全局策略和作用域内策略中的标签和设置
  • 配置和管理保护模板
  • 激活或停用保护--
  • 报告读者

    有权执行的操作 无权执行的操作
    查看 Azure AD 登录报告和审核日志
    查看公司信息和用户信息
    访问 Office 365 使用情况仪表板
    创建和管理用户视图
    创建、编辑和删除用户与组,以及管理用户许可证
    向其他人委派管理角色
    管理公司信息

    安全读取者

    In 有权执行的操作
    Identity Protection Center 读取安全功能的所有安全报告和设置信息
    • 反垃圾邮件
    • 加密
    • 数据丢失防护
    • 反恶意软件
    • 高级威胁防护
    • 防网络钓鱼
    • 邮件流规则
    Privileged Identity Management

    以只读方式访问 Azure AD PIM 中所显示的一切信息:Azure AD 角色分配的策略和报告、安全审阅,以及在未来还可通过读取来访问 Azure AD 角色分配以外的方案的策略数据和报告。

    不能注册 Azure AD PIM 或对其进行任何更改。 担任此角色的人员可以在 PIM 的门户中或通过 PowerShell,为其他角色(例如,全局管理员或特权角色管理员)的候选用户激活角色。

    监视 Office 365 服务运行状况

    Office 365 安全与合规中心

    • 读取和管理警报
    • 读取安全策略
    • 读取威胁情报、云应用发现以及搜索和调查中的隔离区
    • 读取所有报告

    安全管理员

    In 有权执行的操作
    Identity Protection Center
    • 安全读取者角色的所有权限。
    • 此外,还能够执行除了重置密码以外的所有 IPC 操作。
    Privileged Identity Management
    • 安全读取者角色的所有权限。
    • 不能管理 Azure AD 角色成员身份或设置。

    监视 Office 365 服务运行状况

    Office 365 安全与合规中心

    • 安全读取者角色的所有权限。
    • 可以配置高级威胁防护功能中的所有设置(恶意软件和病毒保护、恶意 URL 配置、URL 跟踪等)。

    服务管理员

    有权执行的操作 无权执行的操作

    查看公司信息和用户信息

    管理 Office 支持票证

    重置用户密码

    为 Office 产品执行计费和采购操作

    创建和管理用户视图

    创建、编辑和删除用户与组,以及管理用户许可证

    管理域

    管理公司信息

    向其他人委派管理角色

    使用目录同步

    查看审核日志

    用户帐户管理员

    有权执行的操作 无权执行的操作

    查看公司信息和用户信息

    管理 Office 支持票证

    只能为用户、支持管理员和其他用户帐户管理员更改密码

    创建和管理用户视图

    创建、编辑和删除用户与组,以及管理用户许可证,但有限制。 他/她不能删除全局管理员或创建其他管理员。

    为 Office 产品执行计费和采购操作

    管理域

    管理公司信息

    向其他人委派管理角色

    使用目录同步

    启用或禁用多重身份验证

    查看审核日志

    将用户添加为全局管理员的具体步骤

    1. 使用租户目录全局管理员的帐户登录到 Azure 门户

    2. 选择 Azure Active directory

    3. 选择“用户”>“所有用户”

    4. 找到要指定为全局管理员的用户,并打开此用户的边栏选项卡。

    5. 在“用户”边栏选项卡中,选择“目录角色”>“添加角色”。

    6. 选择“全局管理员”角色,然后单击“选择”。

    已弃用的角色

    不应使用以下角色。 这些角色已弃用,并将从 Azure AD 中删除。

    • 即席许可证管理员
    • 经电子邮件验证的用户创建者
    • 设备联接
    • 设备管理器
    • 设备用户
    • 工作区设备联接

    后续步骤