Les rôles d'administrateur M365 expliqués : inutile de tout le monde nommer Global Admin

M365 propose ±70 rôles d'administrateur. La plupart des PME n'en utilisent que 2 (Global Admin + User Admin). Voici les rôles à vraiment connaître et quand les utiliser.

Toutes les tâches d'administration n'exigent pas le rôle Global Admin. M365 dispose d'une structure de rôles riche — l'exploiter, c'est passer de « tout le monde peut tout faire » à un principe de moindre privilège ciblé.

Les rôles à vraiment connaître

• Global Administrator : accès total. 2 à 3 personnes maximum.
• User Administrator : création d'utilisateurs, réinitialisations de mot de passe, attribution de licences. Idéal pour l'office manager.
• Helpdesk Administrator : réinitialisations de mot de passe pour les utilisateurs non-administrateurs. Convient au support de niveau junior.
• Exchange Administrator : gestion des boîtes aux lettres et des listes de distribution. Pour la personne en charge de la messagerie.
• SharePoint Administrator : gestion des sites SharePoint et des permissions.
• Teams Administrator : paramètres Teams, politiques de réunion.
• Security Administrator : paramètres de sécurité, Defender, politiques d'accès conditionnel. Pour le responsable sécurité.
• Global Reader : Global Admin en lecture seule. Pour les auditeurs ou le responsable conformité.

Attribution : quelques schémas types

• Office manager / RH : User Administrator (suffisant pour l'onboarding et l'offboarding des utilisateurs).
• Responsable sécurité : Security Administrator + Global Reader.
• Comptable / conformité : Global Reader.
• Partenaire IT : selon le périmètre — souvent plus étendu, mais temporaire.

PIM

La licence Premium P2 donne accès à Privileged Identity Management — les rôles d'administrateur ne sont pas activés en permanence, vous les activez pour une session donnée. Pour les PME : à envisager dès 30 collaborateurs pour le rôle Global Admin.

Voir aussi : pilier M365, article PAM.