Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Consultare la Guida per le piccole imprese di Microsoft 365 su YouTube.
La sottoscrizione di Microsoft 365 o Office 365 include un set di ruoli di amministratore che è possibile assegnare agli utenti dell'organizzazione nel interfaccia di amministrazione di Microsoft 365. Ogni ruolo di amministratore esegue il mapping alle funzioni aziendali comuni e concede agli utenti dell'organizzazione le autorizzazioni per eseguire attività specifiche nelle interfacce di amministrazione.
Importante
Microsoft consiglia di usare ruoli con il minor numero di autorizzazioni e di limitare il numero di utenti con autorizzazioni amministrative.
Guardare: Che cos'è un amministratore?
È possibile guardare questo video e altri sul nostro canale YouTube.
Passare alla interfaccia di amministrazione di Microsoft 365 e accedere. Se è possibile accedere al interfaccia di amministrazione di Microsoft 365, si è un amministratore ed è possibile procedere al passaggio successivo.
Nel riquadro di spostamento sinistro, selezionare Utenti>Utenti attivi.
Selezionare l'account utente per la persona che si vuole impostare come amministratore. I dettagli dell'utente vengono visualizzati nella finestra di dialogo a destra.
Prima di iniziare
Il interfaccia di amministrazione di Microsoft 365 consente di gestire i ruoli Microsoft Entra e i ruoli di Microsoft Intune. Questi ruoli sono tuttavia un subset dei ruoli disponibili nell'interfaccia di amministrazione Microsoft Entra e nell'interfaccia di amministrazione di Microsoft Intune.
Per l'elenco completo delle descrizioni dettagliate Microsoft Entra ruolo che è possibile gestire nel interfaccia di amministrazione di Microsoft 365, vedere Autorizzazioni del ruolo amministratore in Microsoft Entra ruoli predefiniti.
Per l'elenco completo delle descrizioni dettagliate dei ruoli di Intune che è possibile gestire nel interfaccia di amministrazione di Microsoft 365, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
Per altre informazioni sull'assegnazione di ruoli nell'interfaccia di amministrazione di Microsoft 365, vedere Assegnare ruoli di amministratore.
Linee guida di sicurezza per l'assegnazione di ruoli
Poiché gli amministratori hanno accesso a dati e file sensibili, è consigliabile seguire queste linee guida per mantenere i dati dell'organizzazione più sicuri.
| Consiglio | Perché è importante |
|---|---|
| Avere il minor numero possibile di amministratori globali | Gli amministratori globali hanno accesso quasi illimitato alle impostazioni dell'organizzazione e alla maggior parte dei relativi dati. È consigliabile limitare il più possibile il numero di amministratori globali. Un amministratore globale potrebbe bloccare inavvertitamente l'account e richiedere una reimpostazione della password. Un altro amministratore globale o un amministratore di autenticazione con privilegi può reimpostare la password di un amministratore globale. Pertanto, è consigliabile avere almeno un amministratore di Autenticazione con privilegi nel caso in cui un amministratore globale sia bloccato dal proprio account. |
| Assegnare il ruolo meno permissivo | Assegnare il ruolo meno permissivo significa concedere agli amministratori solo l'accesso necessario per eseguire il processo. Ad esempio, se si vuole che qualcuno ripristini le password utente, non è consigliabile assegnare il ruolo di amministratore globale illimitato; è invece necessario assegnare un ruolo di amministratore limitato, ad esempio Amministratore password o Amministratore helpdesk. |
| Richiedere l'autenticazione a più fattori (MFA) per gli amministratori | È consigliabile richiedere l'autenticazione a più fattori per tutti gli utenti, in particolare gli amministratori. MFA fa in modo che gli utenti usino un secondo metodo di identificazione per verificare la propria identità. Gli amministratori possono accedere ai dati utente, ad esempio il nome, l'indirizzo di posta elettronica, la posizione e così via. Se è necessaria l'autenticazione a più fattori, anche se la password dell'amministratore viene compromessa, la password da sola non è sufficiente per accedere senza un metodo di identificazione aggiuntivo. Quando si attiva l'autenticazione a più fattori, al successivo accesso l'utente dovrà specificare un indirizzo di posta elettronica alternativo e un numero di telefono per il ripristino dell'account. Configurare l'autenticazione a più fattori |
Se si riceve un messaggio nella interfaccia di amministrazione di Microsoft 365 che non si dispone delle autorizzazioni per modificare un'impostazione o una pagina, è perché si è assegnati a un ruolo che non dispone di tale autorizzazione. In questo caso, eseguire una delle azioni seguenti:
- Rivolgersi a un altro amministratore per assegnare le autorizzazioni corrette.
- Altre informazioni su come vengono assegnati i ruoli di amministratore. Vedere Assegnare ruoli di amministratore.
- Contattare il supporto tecnico per Microsoft 365 per le aziende.
Ruoli dell'interfaccia di amministrazione di Microsoft 365 di uso comune
Per visualizzare i ruoli di amministratore, seguire questa procedura:
Nel interfaccia di amministrazione di Microsoft 365 passare a Assegnazioni di ruolo.
Selezionare qualsiasi ruolo per aprire il riquadro dei dettagli.
Selezionare la scheda Autorizzazioni per visualizzare l'elenco dettagliato delle operazioni che gli amministratori hanno assegnato a tale ruolo.
Selezionare la scheda Assegnate o Amministratori assegnati per aggiungere utenti ai ruoli.
Per visualizzare l'elenco completo dei ruoli, passare alla fine dell'elenco e selezionare Mostra tutto per categoria. Per informazioni dettagliate, inclusi i cmdlet associati a un ruolo, vedere Microsoft Entra ruoli predefiniti.
Ruoli di amministratore e a chi assegnare
Nella tabella seguente sono elencati i ruoli di amministratore e le informazioni su chi devono essere assegnati a questi ruoli.
| Ruolo di amministratore | A chi è opportuno assegnare questo ruolo? |
|---|---|
| Amministratore di intelligenza artificiale | Assegnare il ruolo Amministratore intelligenza artificiale agli utenti che devono eseguire le attività seguenti: • Consentire agli utenti di installare un'app o di installare un'app per gli utenti dell'organizzazione se l'app non richiede l'autorizzazione • Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365 • Visualizzare report sull'utilizzo, informazioni dettagliate sull'adozione e informazioni dettagliate sull'organizzazione • Creare e gestire ticket di supporto in Azure e nella interfaccia di amministrazione di Microsoft 365 Nota: il ruolo Amministratore intelligenza artificiale è attualmente limitato. Per le funzionalità amministrative complete, è consigliabile usare il ruolo Amministratore globale fino a quando il ruolo Amministratore intelligenza artificiale non sarà completamente funzionante. Stiamo espandendo continuamente il supporto per altre funzionalità per migliorare il ruolo di amministratore di intelligenza artificiale. |
| Amministratore fatturazione | Assegnare il ruolo di amministratore fatturazione agli utenti che effettuano acquisti, gestiscono sottoscrizioni e richieste di servizio e monitorano l'integrità del servizio. Gli amministratori della fatturazione non possono assegnare licenze; Se un amministratore di fatturazione è anche un amministratore di licenza o utente, visitare Licenze per assegnare le licenze. Gli amministratori della fatturazione possono anche: • Gestire tutti gli aspetti della fatturazione • Creare e gestire ticket di supporto nel portale di Azure |
| Amministratore di Exchange | Assegnare il ruolo di amministratore di Exchange agli utenti che devono visualizzare e gestire le cassette postali di posta elettronica dell'utente, Gruppi di Microsoft 365 e Exchange Online. Gli amministratori di Exchange possono anche: • Ripristinare gli elementi eliminati nella cassetta postale di un utente • Configurare i delegati "Invia come" e "Invia per conto" |
| Amministratore dell'infrastruttura | Assegnare il ruolo di amministratore di Fabric agli utenti che devono eseguire le attività seguenti: • Gestire tutte le funzionalità di amministrazione per Microsoft Fabric e Power BI • Report sull'utilizzo e le prestazioni • Esaminare e gestire il controllo |
| Amministratore globale | Concedere a un numero eccessivo di utenti l'accesso globale è un rischio per la sicurezza e si consiglia di avere il minor numero possibile di amministratori globali. Solo gli amministratori globali possono: • Reimpostare le password per tutti gli utenti • Aggiungere e gestire domini • Sbloccare un altro amministratore globale La persona che ha effettuato l'iscrizione a Microsoft Servizi online diventa automaticamente amministratore globale. Inoltre, solo gli amministratori globali possono visualizzare e gestire le sottoscrizioni acquistate tramite un partner. |
| Ruolo con autorizzazioni di lettura globali | Assegnare il ruolo di lettore globale agli utenti che devono visualizzare le funzionalità e le impostazioni di amministratore nelle interfacce di amministrazione che l'amministratore globale può visualizzare. Il lettore globale non può modificare alcuna impostazione. Per le sottoscrizioni acquistate tramite un partner, il ruolo di lettore globale non è disponibile. |
| Amministratore di Graph Data Connect | Assegnare il ruolo di amministratore graph data connect agli utenti che devono eseguire le attività seguenti: • Accedere al set completo di funzionalità amministrative di Microsoft Graph Data Connect • Gestire le impostazioni di Microsoft Graph Data Connect in un tenant • Abilitare o disabilitare il servizio Microsoft Graph Data Connect • Configurare le selezioni del carico di lavoro del set di dati in Microsoft Graph Data Connect • Configurare le impostazioni di spostamento dei dati tra tenant in Microsoft Graph Data Connect • Visualizzare, approvare o negare le richieste di autorizzazione dell'applicazione per Microsoft Graph Data Connect • Visualizzare, creare, aggiornare o eliminare registrazioni di applicazioni per Microsoft Graph Data Connect |
| Amministratore gruppi | Assegnare il ruolo di amministratore dei gruppi agli utenti che devono gestire tutte le impostazioni dei gruppi nelle interfacce di amministrazione, comprese l'Interfaccia di amministrazione di Microsoft 365 e l’Interfaccia di amministrazione di Microsoft Entra. Gli amministratori dei gruppi possono: • Creare, modificare, eliminare e ripristinare gruppi di Microsoft 365 • Creare e aggiornare i criteri di creazione, scadenza e denominazione dei gruppi • Creare, modificare, eliminare e ripristinare gruppi di sicurezza Microsoft Entra |
| Amministratore del supporto tecnico | Assegnare il ruolo di amministratore di supporto tecnico agli utenti che devono eseguire le azioni seguenti: • Reimpostare le password • Forzare gli utenti a disconnettersi • Gestire le richieste di servizio • Monitorare l'integrità del servizio L'amministratore del supporto tecnico può aiutare solo gli utenti non amministratori e gli utenti a cui sono assegnati questi ruoli: lettore di directory, invitatore guest, amministratore helpdesk, lettore del Centro messaggi e Lettore di report. |
| Amministratore delle licenze | Assegna il ruolo di amministratore della licenza agli utenti che devono assegnare e rimuovere licenze dagli utenti e modificarne la posizione di utilizzo. Gli amministratori delle licenze possono anche: • Rielaborare le assegnazioni di licenza per le licenze basate su gruppo • Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppi |
| Ruolo con autorizzazioni di lettura della privacy per il Centro messaggi | Assegnare il ruolo con autorizzazioni di lettura della privacy per il Centro messaggi agli utenti che devono leggere i messaggi e gli aggiornamenti relativi alla privacy e alla sicurezza nel Centro messaggi di Microsoft 365. I lettori della privacy del centro messaggi potrebbero ricevere notifiche tramite posta elettronica relative alla privacy dei dati, a seconda delle preferenze, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo gli amministratori globali e gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo non dispone dell'autorizzazione per visualizzare, creare o gestire le richieste di servizio. Gli utenti con autorizzazioni di lettura della privacy per il Centro messaggi possono anche: • Monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati • Visualizzare gruppi, domini e sottoscrizioni |
| Amministratore che legge il Centro messaggi | Assegnare il ruolo lettore del Centro messaggi agli utenti che devono eseguire le attività seguenti: • Monitorare le notifiche del centro messaggi • Ottenere digest settimanali di posta elettronica di post e aggiornamenti del centro messaggi • Condividere i post del centro messaggi • Avere accesso in sola lettura ai servizi di Microsoft Entra, ad esempio utenti e gruppi |
| Amministratore della migrazione | Assegnare il ruolo Amministratore migrazione Microsoft 365 agli utenti che devono eseguire le attività seguenti: • Usare Gestione migrazione nel interfaccia di amministrazione di Microsoft 365 per gestire la migrazione del contenuto a Microsoft 365, inclusi i siti di Microsoft Teams, OneDrive e SharePoint, da varie origini, ad esempio Google Drive, Dropbox e Box. • Selezionare le origini di migrazione, creare inventari di migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report. • Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint. • Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività e gestire i mapping delle autorizzazioni dall'origine alla destinazione. Con questo ruolo è possibile eseguire la migrazione solo da Google Drive, Box, Dropbox ed Egnyte. Questo ruolo non consente di eseguire la migrazione da origini di condivisione file dall'interfaccia di amministrazione di SharePoint. Usare l'amministratore di SharePoint per eseguire la migrazione da origini di condivisione file. |
| Amministratore delle app di Office | Assegnare il ruolo di amministratore di Office Apps agli utenti che devono eseguire le attività seguenti: • Usare il servizio Criteri cloud per Microsoft 365 per creare e gestire criteri basati sul cloud. • Creare e gestire le richieste di servizio • Gestire il contenuto Novità visualizzato dagli utenti nelle app in Microsoft 365 • Monitorare l'integrità del servizio • Gestire le impostazioni degli script di Office |
| Writer di messaggi dell'organizzazione | Assegnare il ruolo Writer messaggi dell'organizzazione agli utenti che devono scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici dei prodotti Microsoft. |
| Responsabile approvazione messaggi dell'organizzazione | Assegnare il ruolo Responsabile approvazione messaggi dell'organizzazione agli utenti che devono esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 prima di essere inviati agli utenti tramite le superfici dei prodotti Microsoft. |
| Amministratore password | Assegnare il ruolo Amministratore password a un utente che deve reimpostare le password per gli utenti che non sono amministratori e amministratori password. |
| Persone amministratore | Assegnare il ruolo di amministratore Persone agli utenti che devono eseguire le attività seguenti: • Aggiornare le foto del profilo per tutti gli utenti, inclusi gli amministratori • Aggiornare le impostazioni delle persone per tutti gli utenti (pronome, pronuncia del nome e impostazioni della scheda del profilo) |
| Amministratore di Power Platform | Assegnare il ruolo di amministratore di Power Platform agli utenti che devono eseguire le attività seguenti: • Gestire tutte le funzionalità di amministrazione per Power Apps, Power Automate, Power BI, Microsoft Fabric e Prevenzione della perdita dei dati Microsoft Purview • Creare e gestire le richieste di servizio • Monitorare l'integrità del servizio |
| Ruolo con autorizzazioni di lettura per i report | Assegnare il ruolo lettore Report agli utenti che devono eseguire le attività seguenti: • Visualizzare i dati di utilizzo e i report attività nel interfaccia di amministrazione di Microsoft 365 • Ottenere l'accesso al pacchetto di contenuto per l'adozione di Power BI • Ottenere l'accesso ai report di accesso e alle attività nell'ID Microsoft Entra • Visualizzare i dati restituiti dall'API per la creazione di report di Microsoft Graph |
| Amministratore della ricerca | Assegnare il ruolo di amministratore della ricerca agli utenti che devono creare e gestire il contenuto dei risultati della ricerca e definire le impostazioni di query per ottenere risultati di ricerca migliorati all'interno dell'organizzazione. L'amministratore della ricerca gestisce la configurazione di Microsoft Search e può eseguire tutte le attività di gestione del contenuto che un editor di ricerca può eseguire. |
| Amministratore del supporto tecnico | Assegnare il ruolo di amministratore del supporto del servizio come altro ruolo agli amministratori o agli utenti che devono eseguire le attività seguenti oltre al ruolo di amministratore consueto: • Aprire e gestire le richieste di servizio • Visualizzare e condividere i post del centro messaggi • Monitorare l'integrità del servizio |
| Amministratore di SharePoint | Assegnare il ruolo di amministratore di SharePoint agli utenti che devono accedere all'interfaccia di amministrazione di SharePoint e gestirla. Gli amministratori di SharePoint possono anche: • Creare ed eliminare siti • Gestire le raccolte siti e le impostazioni globali di SharePoint |
| Amministratore di Teams | Assegnare il ruolo di amministratore di Teams agli utenti che devono accedere e gestire l'interfaccia di amministratore di Teams. L'amministratore di Teams può anche: • Gestire le riunioni • Gestire i bridge di conferenza • Gestire tutte le impostazioni a livello di organizzazione, tra cui federazione, aggiornamento dei team e impostazioni client di teams |
| Amministratore utenti | Assegnare il ruolo di amministratore utente agli utenti che devono eseguire le attività seguenti per tutti gli utenti: • Aggiungere utenti e gruppi • Assegnare licenze • Gestire la maggior parte delle proprietà degli utenti • Creare e gestire visualizzazioni utente • Aggiornare i criteri di scadenza delle password • Gestire le richieste di servizio • Monitorare l'integrità del servizio L'amministratore utente può anche eseguire le azioni seguenti per gli utenti che non sono amministratori e per gli utenti a cui sono assegnati i ruoli seguenti: lettore di directory, invitatore guest, amministratore del supporto tecnico, lettore del Centro messaggi, Lettore di report: • Gestire i nomi utente • Eliminare e ripristinare gli utenti • Reimpostare le password • Forzare gli utenti a disconnettersi • Aggiornare le chiavi del dispositivo (FIDO) |
| Responsabile del successo dell'esperienza utente | Assegnare il ruolo User Experience Success Manager agli utenti che devono accedere a Experience Insights, al punteggio di adozione e al Centro messaggi nel interfaccia di amministrazione di Microsoft 365. Questo ruolo include le autorizzazioni del ruolo Lettore report di riepilogo utilizzo. |
Autorizzazioni basate sui ruoli di amministratore e sul tipo di gruppo nel interfaccia di amministrazione di Microsoft 365
| Ruolo amministratore | Gruppi di Microsoft 365 | Security Groups | Gruppi di distribuzione | Gruppi di sicurezza abilitati per la posta elettronica |
|---|---|---|---|---|
| Amministratore globale | Creare, leggere, aggiornare, eliminare | Creare, leggere, aggiornare, eliminare | Creare, leggere, aggiornare, eliminare | Creare, leggere, aggiornare, eliminare |
| Ruolo con autorizzazioni di lettura globali | Lettura | Lettura | Lettura | Lettura |
| Amministratore utenti | Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO | Creare, leggere, aggiornare, eliminare | Lettura | Lettura |
| Amministratore di Exchange | Creare, leggere, aggiornare, eliminare | Lettura, aggiornamento: solo i gruppi di cui sono proprietari, Elimina, solo i gruppi di cui sono proprietari | Creare, leggere, aggiornare, eliminare | Creare, leggere, aggiornare, eliminare |
| Amministratore di Teams | Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO | Creare, leggere, aggiornare, eliminare: solo i gruppi di cui sono proprietari | Lettura | Lettura |
| Amministratore di SharePoint | Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO | Creare, leggere, aggiornare, eliminare solo i gruppi di cui sono proprietari | Lettura | Lettura |
| Amministratore fatturazione | Lettura | Lettura | Lettura | Lettura |
| Amministratore del servizio | Lettura | Lettura | Lettura | Lettura |
| Amministratore del gruppo | Creare, leggere, aggiornare, eliminare, non è possibile aggiornare le proprietà EXO | Creare, leggere, aggiornare, eliminare | Lettura | Lettura |
| Amministratore di intelligenza artificiale | Lettura | Lettura | Lettura | Lettura |
Amministrazione con delega per partner Microsoft
Se si collabora con un partner Microsoft, è possibile assegnargli un ruolo di amministratore. Il partner a sua volta può assegnare un ruolo di amministratore ad altri utenti della propria azienda o di quella con cui collabora. È possibile assegnare ruoli di amministratore ai partner se stanno configurando e gestendo automaticamente l'organizzazione online.
Un partner può assegnare questi ruoli:
Amministrazione privilegi dell'agente equivalenti a un amministratore globale, ad eccezione della gestione dell'autenticazione a più fattori tramite il Centro per i partner.
Agente help desk Privilegi equivalenti a quelli del ruolo di amministratore di supporto tecnico.
Prima che il partner possa assegnare questi ruoli agli utenti, è necessario aggiungerlo come amministratore con delega al proprio account. Il partner deve essere un partner autorizzato. Per istruzioni, vedere Autorizzare o rimuovere relazioni con i partner.
Ruoli contratti multilicenza
Gli amministratori del contratto multilicenza (VL) accedono ai contratti multilicenza nel interfaccia di amministrazione di Microsoft 365.
- Gli amministratori VL non dispongono delle autorizzazioni per altre informazioni o funzionalità dell'interfaccia di amministrazione all'esterno della sezione VL.
- Gli amministratori globali non assegnano ruoli VL e non devono assegnare alcun ruolo di amministratore a un amministratore VL per poter accedere al contratto VL.
- Gli amministratori globali non hanno accesso alle informazioni o alle funzionalità di VL nell'interfaccia di amministrazione, a meno che non vengano assegnati un ruolo VL da un amministratore VL.
Per altre informazioni, vedere Gestire i ruoli utente dei contratti multilicenza o contattare il team di supporto per contratti multilicenza.
Contenuto correlato
Assegnare ruoli di amministratore
Microsoft Entra ruoli nel interfaccia di amministrazione di Microsoft 365
Report sulle attività nell'interfaccia di amministrazione di Microsoft 365