在 Azure Active Directory 中分配管理员角色

https://docs.microsoft.com/zh-cn/azure/active-directory/active-directory-assign-admin-roles

使用 Azure Active Directory (Azure AD) 时，可以指定不同的管理员来执行不同的功能。 这些管理员可以按角色访问 Azure 门户或 Azure 经典门户中的各种功能：创建或编辑用户、将管理角色分配给他人、重置用户密码、管理用户许可证以及管理域等。 分配为管理员角色的用户在你的组织所订阅的所有云服务中拥有相同的权限，不管该角色是通过 Office 365 门户、Azure 经典门户还是用于 Windows PowerShell 的 Azure AD 模块分配的。

提供以下管理员角色：

• 计费管理员：进行采购、管理订阅、管理支持票证并监视服务运行状况。

• 全局管理员/公司管理员：有权访问所有管理功能。 注册 Azure 帐户的人员将成为全局管理员。 只有全局管理员才能分配其他管理员角色。 你的公司中可以有多个全局管理员。

  注意

  在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中，此角色标识为“公司管理员”。 它是 Azure 门户中的“全局管理员”。

• 合规性管理员：
• CRM 服务管理员：具有此角色的用户在 Microsoft CRM Online（如果存在此服务）中拥有全局权限。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。
• 客户密码箱访问审批人：如果启用了密码箱服务，具有此角色的用户可以审批 Microsoft 工程师访问公司信息的请求。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。
• 设备管理员：具有此角色的用户将成为已加入 Azure Active Directory 的所有 Windows 10 设备上的管理员。
• 目录读取者：这是一个遗留的角色，分配给不支持同意框架的应用程序。 不应将它分配给任何用户。
• 目录同步帐户：请勿使用。 此角色自动分配给 Azure AD Connect 服务，不可用于其他任何用途。
• 目录写入者：这是一个遗留的角色，分配给不支持同意框架的应用程序。 不应将它分配给任何用户。
• Exchange 服务管理员：具有此角色的用户在 Microsoft Exchange Online（如果存在此服务）中拥有全局权限。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。
• Intune 服务管理员：具有此角色的用户在 Microsoft Intune Online（如果存在此服务）中拥有全局权限。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。
• Skype for Business 服务管理员：具有此角色的用户在 Microsoft Skype for Business（如果存在此服务）中拥有全局权限。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。 此角色以前称为 Lync 服务管理员角色。
• 来宾邀请者：此角色中的用户可以管理来宾邀请。 它不包括任何其他权限。

• 密码管理员/支持管理员：重置密码、管理服务请求并监视服务运行状况。 密码管理员只能为用户和其他密码管理员重置密码。

  注意

  在 Microsoft 图形 API、Azure AD 图形 API 和 Azure AD PowerShell 中，此角色标识为“支持管理员”。

• SharePoint 服务管理员：具有此角色的用户在 Microsoft SharePoint Online（如果存在此服务）中拥有全局权限。 有关详细信息，请参阅 About Office 365 admin roles（关于 Office 365 管理员角色）。

• 服务管理员：管理服务请求并监视服务运行状况。

  注意

  若要为用户分配服务管理员角色，全局管理员必须先在服务（例如 Exchange Online）中将管理权限分配给用户，然后再在 Azure 经典门户中将服务管理员角色分配给用户。

• 用户帐户管理员：重置密码、监视服务运行状况，并管理用户帐户、用户组和服务请求。 用户管理管理员权限存在一些限制。 例如，他们不能删除全局管理员或创建其他管理员。 另外，他们也不能为计费管理员、全局管理员和服务管理员重置密码。
• 安全读取者：能够以只读方式访问 Identity Protection Center、Privileged Identity Management、监视 Office 365 服务运行状况和 Office 365 安全与合规中心的一些安全功能。
• 安全管理员：拥有安全读取者角色的所有只读权限，再加上下列相同服务的一些附加管理权限：Identity Protection Center、Privileged Identity Management、监视 Office 365 服务运行状况和 Office 365 安全与合规中心。

管理员权限

计费管理员

有权执行的操作	无权执行的操作
查看公司信息和用户信息 管理 Office 支持票证 为 Office 产品执行计费和采购操作	重置用户密码 创建和管理用户视图 创建、编辑和删除用户与组，以及管理用户许可证 管理域 管理公司信息 向其他人委派管理角色 使用目录同步 查看报告

全局管理员

有权执行的操作	无权执行的操作
查看公司信息和用户信息 管理 Office 支持票证 为 Office 产品执行计费和采购操作 重置用户密码 创建和管理用户视图 创建、编辑和删除用户与组，以及管理用户许可证 管理域 管理公司信息 向其他人委派管理角色 使用目录同步 启用或禁用多重身份验证 查看报告	不适用

密码管理员

有权执行的操作	无权执行的操作
查看公司信息和用户信息 管理 Office 支持票证 重置用户密码	为 Office 产品执行计费和采购操作 创建和管理用户视图 创建、编辑和删除用户与组，以及管理用户许可证 管理域 管理公司信息 向其他人委派管理角色 使用目录同步 查看报告

服务管理员

有权执行的操作	无权执行的操作
查看公司信息和用户信息 管理 Office 支持票证	重置用户密码 为 Office 产品执行计费和采购操作 创建和管理用户视图 创建、编辑和删除用户与组，以及管理用户许可证 管理域 管理公司信息 向其他人委派管理角色 使用目录同步 查看报告

用户管理员

有权执行的操作	无权执行的操作
查看公司信息和用户信息 管理 Office 支持票证 重置用户密码，但有限制。 他/她不能为计费管理员、全局管理员和服务管理员重置密码。 创建和管理用户视图 创建、编辑和删除用户与组，以及管理用户许可证，但有限制。 他/她不能删除全局管理员或创建其他管理员。	为 Office 产品执行计费和采购操作 管理域 管理公司信息 向其他人委派管理角色 使用目录同步 启用或禁用多重身份验证 查看报告

安全读取者

In	有权执行的操作
Identity Protection Center	读取安全功能的所有安全报告和设置信息 反垃圾邮件 加密 数据丢失预防 反恶意软件 高级威胁防护 防网络钓鱼 邮件流规则
Privileged Identity Management	以只读方式访问 Azure AD PIM 中所显示的一切信息：Azure AD 角色分配的策略和报告、安全审阅，以及在未来还可通过读取来访问 Azure AD 角色分配以外的方案的策略数据和报告。 不能注册 Azure AD PIM 或对其进行任何更改。 担任此角色的人员可以在 PIM 的门户中或通过 PowerShell，为其他角色（例如，全局管理员或特权角色管理员）的候选用户激活角色。
监视 Office 365 服务运行状况 Office 365 安全与合规中心	读取和管理警报 读取安全策略 读取威胁情报、云应用发现以及搜索和调查中的隔离区 读取所有报告

安全管理员

In	有权执行的操作
Identity Protection Center	安全读取者角色的所有权限。 此外，还能够执行除了重置密码以外的所有 IPC 操作。
Privileged Identity Management	安全读取者角色的所有权限。 不能管理 Azure AD 角色成员身份或设置。
监视 Office 365 服务运行状况 Office 365 安全与合规中心	安全读取者角色的所有权限。 可以配置高级威胁防护功能中的所有设置（恶意软件和病毒保护、恶意 URL 配置、URL 跟踪等）。

有关全局管理员角色的详细信息

全局管理员有权访问所有管理功能。 默认情况下，系统会将注册 Azure 订阅的人员指派为目录的全局管理员角色。 只有全局管理员才能分配其他管理员角色。

分配或删除管理员角色

1. 在 Azure 经典门户中，单击“Active Directory”，然后单击所在组织的目录的名称。
2. 在“用户”页上，单击要编辑的用户的显示名称。
3. 在“组织角色”列表中，选择要分配给此用户的管理员角色，或者选择“用户”（如果要删除现有的管理员角色）。
4. 在“备用电子邮件地址”框中键入一个电子邮件地址。 此电子邮件地址用于接收重要通知（包括有关密码自助重置的通知），因此，不管该用户是否能够访问 Azure，都必须能够访问其电子邮件帐户。
5. 选择“允许”或“阻止”以指定是否允许用户登录并访问服务。
6. 从“使用位置”下拉列表中指定位置。
7. 完成后，单击“保存”。

Azure 中的权限管理

在Azure中，权限从高到低分为三种，分别为

-        企业管理员

企业管理员能够向合约添加账户或将账户与注册关联，可跨所有账户查看使用量数据，还可以查看与注册关联的货币承诺余额。针对一个注册的企业管理员的数量不受限制。

-        账户管理员

账户所有者可为其账户添加订阅，针对单独的订阅更新服务管理员和共同管理员、查看其账户的使用量数据，以及在企业管理员提供了访问权限的情况下查看账户费用。除非账户所有者同时具有企业管理员权限，否则将看不到资金承诺余额。

-        服务管理员

服务管理员以及每个订阅的最多199个共同管理员能够访问和管理Azure管理门户内的订阅和开发项目。除非服务管理员同时具有其他两个角色之一，否则将没有企业门户的访问权限。

 

注意：Azure测试账号没有企业管理员。