Microsoft公式の記事を参考に作成しました。
About admin roles
#権限一覧
| Admin name |
管理者名 |
分類 |
| Application admin |
アプリケーション管理者 |
アプリケーション |
| Application developper |
アプリケーション開発者 |
アプリケーション |
| Authentication admin |
認証管理者 |
ライセンス |
| Azure Information Protection admin |
Azure Information Protection管理者 |
Azure |
| Billing admin |
課金管理者 |
ライセンス |
| Cloud Application admin |
クラウドアプリケーション管理者 |
アプリケーション系 |
| Cloud device admin |
クラウドデバイス管理者 |
デバイス |
| Compliance admin |
コンプライアンス管理者 |
コンプライアンス&セキュリティ |
| Conditional Access admin |
条件付きアクセス管理者 |
ライセンス |
| Customer Lockbox access approver |
カスタマーロックボックスアクセス承認者 |
デバイス |
| Desktop Analytic admin |
デスクトップ分析管理者 |
データ分析 |
| Dynamics365 admin |
Dynamics365管理者 |
サービス管理者 |
| Exchange admin |
Exchange管理者 |
サービス管理者 |
| External identity provider admin |
外部IDプロバイダー管理者 |
ライセンス |
| Global admin |
グローバル管理者 |
グローバル |
| Global reader |
グローバル閲覧者 |
グローバル |
| Groups admin |
グループ管理者 |
ライセンス |
| Guest inviter |
ゲスト招待元 |
ライセンス |
| Helpdesk admin |
ヘルデスク管理者 |
サービス監視 |
| Kaizala admin |
Kaizala管理者 |
Kaizala |
| License admin |
ライセンス管理者 |
ライセンス |
| Message center privacy reader |
メッセージセンターのプライバシーリーダー |
サービス監視 |
| Message center reader |
メッセージセンターリーダー |
サービス監視 |
| Office Apps admin |
Officeアプリ管理者 |
ライセンス |
| Privileged role admin |
特権ロール管理者 |
ライセンス |
| Reports reader |
レポート閲覧者 |
サービス監視 |
| Search admin |
検索管理者 |
サービス監視 |
| Service admin |
サービス管理者 |
サービス監視 |
| Skype for Business admin |
Skype for Buisiness管理者 |
サービス管理者 |
| SharePoint admin |
SharePoint管理者 |
サービス管理者 |
| Teams service admin |
Teamsサービス管理者 |
サービス管理者 |
| Teams communication manager |
Teamsコミュニケーションマネージャー |
Skype/Teams |
| Teams communication support engineer |
Teams通話サポートエンジニア |
Skype/Teams |
| Teams communication support specialist |
Teams通話サポートスペシャリスト |
Skype/Teams |
| User admin |
ユーザー管理者 |
ライセンス |
#管理者ごとの権限の内容
##グローバル
| Admin name |
管理者名 |
| Global admin |
グローバル管理者 |
| ・すべての管理機能に対する制限なしのアクセス |
|
| ・管理センターのほとんどのデータに対する制限なしのアクセス |
|
| ・Azure ADの全ての管理機能 |
|
| ・Azure ADのIDを使用するサービス(Microsoft セキュリティセンター、Microsoft 365 セキュリテぃ/コンプライアンスセンター、Exchange Online、SharePoint Online、Skype for Buisiness)にアクセスできる |
|
| ・管理者権限を割り当てることができる |
|
| ・全てのユーザーと全ての管理者のパスワードをリセットできる |
|
| Admin name |
管理者名 |
| Global reader |
グローバル閲覧者 |
| ・全体管理者の閲覧だけ版 |
|
・Microsoft 365管理センター、Exchange管理センター、Teams管理センター、SharePoint管理センター、セキュリティセンター、コンプライアンスセンター、Azure AD管理センター、デバイスの管理センターと連動
・OneDrive管理センターは見れない
・Azure ADポータルは一部見れない(企業アプリのプロビジョニングモードが見れない)
・M365管理センターは一部見れない(カスタマーロックボックス要求を閲覧できない)
・M365セキュリティセンターは一部見れない(機密ラベルと保持ラベルを閲覧できない)
・Teams管理センターは一部見れない(Teamsライフサイクル、分析&レポート、IP電話デバイス管理、アプリカタログを閲覧できない)
・Privileged Access Managementは見れない
・Azure Information Protectionは中央レポートのみ
・ポリシー(会議、通話、etc...)が見れるようになっていました(2020.6.22)
##サービス管理者
| Admin name |
管理者名 |
| Dynamics365 admin |
Dynamics365管理者 |
| ・Dynamics 365オンラインへのフルアクセス |
|
| ・Dynamics 365オンラインの管理サービス要求 |
|
| ・Dynamics 365オンラインの正常性の監視 |
|
・Microsoft Graph API, Azure AD Graph API, Azure AD Powershellの管理者になれる
| Admin name |
管理者名 |
| Exchange admin |
Exchange管理者 |
| ・Exchange onlineへのフルアクセス |
|
| ・全てのO365グループの作成と管理 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| Admin name |
管理者名 |
| Skype for Business admin |
Skype for Buisiness管理者 |
| ・TeamsとSkypeの機能へのフルアクセス |
|
| ・Skypeのユーザー属性へのフルアクセス |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| Admin name |
管理者名 |
| SharePoint admin |
SharePoint管理者 |
| ・SharePoint Onlineへのフルアクセス |
|
| ・Office365グループの管理 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| Admin name |
管理者名 |
| Teams service admin |
Teamsサービス管理者 |
| ・TeamsとSkypeの管理センターへのアクセス |
|
| ・Office365グループの作成、管理 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
・更新トークンの無効化→ユーザーは再度サインインすることを強制される
##Skype/Teams
| Admin name |
管理者名 |
| Teams communication manager |
Teamsコミュニケーションマネージャー |
| ・電話番号の割り当て |
|
| ・会話と会議のポリシーの作成と管理 |
|
| ・通話分析の読み取り |
|
| Admin name |
管理者名 |
| Teams communication support engineer |
Teams通話サポートエンジニア |
| ・通話に関する問題のトラブルシューティングを行うために、すべての通話参加者の通話記録の詳細を読み取る |
|
| ・サポートチケットの表示、作成、管理のアクセス権はない |
|
| Admin name |
管理者名 |
| Teams communication support specialist |
Teams通話サポートスペシャリスト |
| ・通話トラブルシューティングのために、特定のユーザーに対する通話詳細読み取りができる |
|
| ・サポートチケットの表示、作成、管理のアクセス権はない |
|
##コンプライアンス&セキュリティ
| Admin name |
管理者名 |
| Compliance admin |
コンプライアンス管理者 |
| ・規制要求の管理 |
|
| ・電子情報開示(eDiscovery)の状態の管理 |
|
| ・ロケーション、ID、アプリのデータガバナンスの管理 |
|
・Microsoft 365コンプライアンスセンター、Microsoft 365管理センター、Azure、Office365セキュリティ/コンプライアンスセンターのコンプライアンス関連の機能の管理権限
・Exchange管理センター、Teams、Skype for Buisinessの管理センターのすべての機能を管理できる
・AzureとMicrosoft365サポートチケットを作成することもできる
・Microsoft 365コンプライアンスセンター
本サービス全体での組織のデータ保護及び管理
コンプライアンスアラートの管理
・コンプライアンスマネージャー
組織の法令遵守活動の追跡、割り当て、確認
・O365セキュリティ/コンプライアンスセンター
データガバナンスの管理
法律及びデータの調査の実行
データ主体の要求の管理
・Intune
Intuneの全ての監査データの表示
・Cloud App Security
読み取り専用アクセス許可があり、アラートを管理できる
ファイルポリシーの作成と変更、ファイルガバナンスアクションの許可
データ管理下の全ての組み込みレポートの表示
##アプリケーション
| Admin name |
管理者名 |
| Application admin |
アプリケーション管理者 |
- Enterpriseアプリにフルアクセスできる ※アプリの所有者にはならない
- アプリの登録ができる ※アプリの所有者にはならない
- アプリのプロキシ設定ができる
- アプリの証明書の管理権限がある
- アプリの資格認証を追加し、アプリになりすましの資格認証をすることができる
- アプリ権限と委任権限の同意ができる権限を付与できる(Microsoft Graph, Axure AD Graphを除く)
- Azure AD自体に対するアクセス許可はできない。要求はできる。許可はAzure AD管理者の権限が必要。
| Admin name |
管理者名 |
| Application developper |
アプリケーション開発者 |
- アプリの登録ができる(「ユーザーはアプリケーションを登録できる」設定がNOの場合でも。)
- 自身のアプリへのアクセスを許可を承諾できる(「ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます」設定がNOの場合でも)
- 新規アプリ登録や新規enterpriseアプリの作成時には所有者に追加される
⭐︎アプリケーション管理者と開発者の違い
- 管理者はアプリ作成・登録時に所有者にならないが、開発者は所有者になる
- 管理者はプロキシ設定や証明書の管理、資格認証ができるが、開発者はできない
| Admin name |
管理者名 |
| Cloud Application admin |
クラウドアプリケーション管理者 |
| ・Enterpriseアプリケーションにフルアクセスがある(登録・作成して管理できる)(所有者は追加できない) |
|
| ・アプリの登録・作成して管理できる(所有者は追加できない) |
|
| ・アプリの代理権(委任権)がない |
|
・アプリケーション管理者とほぼ同じ(アプリプロキシを管理する権限は除く)
・アプリと一緒でアプリのID偽装できる
##ライセンス
| Admin name |
管理者名 |
| Authentication admin |
認証管理者 |
・ユーザーや一部の管理者(認証管理者、ディレクトリリーダー、ゲスト招待元、メッセージセンター閲覧者、レポート閲覧者)に多要素認証(MFA)を要求することができる
・パスワード以外の資格情報設定やリセットができる
・全てのユーザーのパスワードを更新することができる
・所有しているアプリの資格情報を管理できる
・機密情報や個人情報を扱う以下のユーザーと資格を交換できるため、許可を装う可能性がある
ーアプリの登録とEnterpriseアプリ所有者(所有しているアプリの資格情報を管理できる)
ーAzure サブスクリプション所有者(機密情報や個人情報、Azureの重要な構成にアクセスできる)
ーセキュリティグループとO365グループの所有者(機密情報や個人情報またはAzure ADや別の場所の重要案構成へのアクセス権付与)
ーExchange Online, Office Security and Compliance Center、人事システムのようなAzure AD以外のサービスの管理者
ー機密情報や個人情報にアクセスできる場合がある役員、弁護士、人事担当者のような非管理者
| Admin name |
管理者名 |
| Billing admin |
課金管理者 |
| ・購入ができる |
|
| ・サブスクリプションの管理 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| Admin name |
管理者名 |
| Conditional Access admin |
条件付きアクセス管理者 |
| ・Azure ADの条件付きアクセス設定管理(Exchange ActiveSyncの条件付きアクセスポリシーは除く) |
|
| Admin name |
管理者名 |
| External identity provider admin |
外部IDプロバイダー管理者 |
| ・ダイレクトフェデレーション(1度の認証で複数のサービスの利用を可能にする)における利用のためのIDプロバイダー設計 |
|
| ・新しいIDプロバイダーを追加し、使用可能な全ての設定(認証パス、サービスID、割り当てられたキーコンテナーなど)を構成できます |
|
| ・テナントで外部IDプロバイダーからの認証の信頼を有効にできる |
|
| Admin name |
管理者名 |
| Groups admin |
グループ管理者 |
| ・O365グループの作成 |
|
| ・管理センターを通じた全グループ設定の管理 |
|
| Admin name |
管理者名 |
| Guest inviter |
ゲスト招待元 |
| ・テナント外ユーザーの招待権限を持つ |
|
| ・Azure AD B2B ゲストユーザー招待の管理 |
|
| Admin name |
管理者名 |
| License admin |
ライセンス管理者 |
| ・ユーザーからライセンスを剥奪する |
|
| ・ユーザーからライセンスを割り当てる、更新 |
|
| ・グループに対するライセンスの改廃 |
|
| ・ロケーションの編集 |
|
・サブスクリプションの購入と管理、グループの作成と管理を行う権限はない。
・ロケーションを超える範囲でのユーザーの作成と管理を行う権限はない
・サポートチケットの表示、作成、管理をするアクセス権がない
| Admin name |
管理者名 |
| Office Apps admin |
Officeアプリ管理者 |
| ・Officeに対するクラウドベースのポリシー管理 |
|
| ・ユーザーに表示する最新のOfficeアプリ |
|
| Admin name |
管理者名 |
| Privileged role admin |
特権ロール管理者 |
| ・Azure ADとAzure AD Privileged Identity Management内での役割の割り当て管理 |
|
| ・特権ID管理の全アクセスコントロール管理 |
|
・Azure ADでのユーザーの作成や更新などの特権付きの機能が含まれていない
| Admin name |
管理者名 |
| User admin |
ユーザー管理者 |
| ・ユーザーの作成、ほぼ全ての側面を管理できる |
|
| ・パスワードのリセット |
|
| ・パスワードの有効期限ポリシーを更新できる |
|
| ・全てのグループを作成して管理できる |
|
| ・フィルターを含むユーザーとグループの作成と管理 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| ・ユーザーのプロパティを管理するアクセス許可はない |
|
##サービス監視
| Admin name |
管理者名 |
| Helpdesk admin |
ヘルデスク管理者 |
| ・管理者以外の人や幾つかの管理権限(ゲスト招待元、ヘルプデスク管理者、メッセ維持センター閲覧者、レポート閲覧者、エンタープライズアプリ所有者、Azureサブスクリプション所有者、セキュリティグループとO365グループの所有者、Azure AD以外のサービスの管理者(Exchange, セキュリティ&コンプライアンスセンター、人事システムなど)、役員・弁護士・人事担当者など)へのパスワードのリセットと再認証 |
|
| ・サービス要求の管理 |
|
| ・サービス正常性の監視 |
|
| Admin name |
管理者名 |
| Message center privacy reader |
メッセージセンターのプライバシーリーダー |
| ・メッセージセンターにおけるデータプライバシーメッセージへのアクセス |
|
| ・emailの通知を受け取れる |
|
・メッセージセンターの設定を使用してメール通知の登録を解除することができる
・グループ・ドメイン・サブスクリプションを表示できる
・サービス要求を表示、作成、管理するアクセス許可はない
| Admin name |
管理者名 |
| Message center reader |
メッセージセンターリーダー |
| ・メッセージセンターにおける通常メッセージを共有 |
|
| ・メッセージセンターにおける通常メッセージを読む |
|
| ・週刊emailダイジェストを受け取る |
|
| ・ユーザー、グループ、ドメイン、サブスクリプションに対するread onlyアクセス |
|
・サポートチケットの表示、作成、管理のためのアクセス許可はない
| Admin name |
管理者名 |
| Reports reader |
レポート閲覧者 |
| ・ダッシュボードX |
|
| ・PowerBI 導入コンテンツパック |
|
| ・サインインレポート |
|
| ・Microsoft graph reporting API |
|
| ・上記4つから利用報告データを読む |
|
・Exchangeなどの製品固有の管理センターの設定を構成したりアクセスするアクセス許可はない
・サポートの表示、作成、管理のアクセス許可はない
| Admin name |
管理者名 |
| Search admin |
検索管理者 |
| ・Microsoft Searchへのフルアクセス |
|
| ・検索管理者の割り当て |
|
| ・検索エディターの割り当て |
|
| ・編集コンテンツの管理 |
|
| ・サービス正常の監視 |
|
| ・サービス要求の作成 |
|
| Admin name |
管理者名 |
| Service admin |
サービス管理者 |
| ・Azure, Microsoft365, Office365に対するサービス要求の作成 |
|
| ・サービス正常性の監視 |
|
| ・サービスダッシュボードとメッセージセンターを表示できる |
|
Skype for Business admin
Skype for Buisiness管理者
・TeamsとSkypeの機能へのフルアクセス
・Skypeのユーザー属性へのフルアクセス
・サービス要求の管理
・サービス正常性の監視
##Azurel
| Admin name |
管理者名 |
| Azure Information Protection admin |
Azure Information Protection管理者 |
| ・Azure情報保護ポリシーのためのラベル管理・構成 |
|
| ・保護テンプレートの管理 |
|
| ・保護を有効にする |
|
・Azure Information Protectionサービスのすべてのアクセス許可を持つ
・Idenity Protection Center, Privileged Identity Management, O365 Service Healthの監視、O365のセキュリティ/コンプライアンスセンターにはアクセス許可なし
##デバイス管理
| Admin name |
管理者名 |
| Cloud device admin |
クラウドデバイス管理者 |
| ・デバイスの管理(有効化、無効化、削除) |
|
| ・windows10のBitLockerを読み取れる |
|
| ・デバイス上の他のプロパティを管理するアクセス許可の付与はできない |
|
| Admin name |
管理者名 |
| Customer Lockbox access approver |
カスタマーロックボックスアクセス承認者 |
| ・Customer Lockboxリクエストの管理(E5ライセンス) |
|
##データ分析
| Admin name |
管理者名 |
| Desktop Analytic admin |
デスクトップ分析管理者 |
| ・Desktop管理ツールと管理サービスへのアクセスができる |
|
| ・Desktop管理ツールと管理サービスへの管理ができる |
|
・Desktop分析と、Officeのカスタマイズとポリシーのサービスを管理できる
・デスクトップ分析なら、資産インベントリの表示、展開計画の作成、展開と正常性の状態の表示に対する権限あり
・Officeのカスタマイズとポリシーの場合、Officeのポリシーを管理できる
##Kaizala
| Admin name |
管理者名 |
| Kaizala admin |
Kaizala管理者 |
| ・Kaizala管理機能とデータに対するフルアクセス |
|
| ・サービス要求の管理 |
|
・組織のメンバーによるKaizalaの導入と使用法に関連したレポートやKaizalaアクションを使用して生成されるビジネスレポートにもアクセスできる
