M365 admin-rollen uitgelegd: je hoeft niet iedereen Global Admin te maken

M365 heeft ±70 admin-rollen. De meeste MKB's gebruiken er 2 (Global Admin + User Admin). Hier de rollen die je echt moet kennen en wanneer je ze inzet.

Niet elke admin-taak vereist Global Admin. M365 heeft een rijke rol-structuur — inzetten ervan is het verschil tussen "iedereen kan alles" en gericht least-privilege.

De rollen die je echt moet kennen

• Global Administrator: alles. 2-3 personen max.
• User Administrator: users aanmaken, password resets, licenties toewijzen. Voor office-manager.
• Helpdesk Administrator: password resets voor non-admin users. Junior helpdesk.
• Exchange Administrator: mailbox-beheer, distributie-lists. Voor iemand die dat regelt.
• SharePoint Administrator: SharePoint-site-beheer en permissies.
• Teams Administrator: Teams-instellingen, meetings-policies.
• Security Administrator: security-instellingen, Defender, CA-policies. Voor security-officer.
• Global Reader: read-only Global Admin. Voor auditors of compliance-officer.

Toewijzing: patronen

• Office-manager / HR: User Administrator (voldoende voor onboarding/offboarding van users).
• Security-officer: Security Administrator + Global Reader.
• Accountant/compliance: Global Reader.
• IT-partner: afhankelijk van scope — vaak breder maar tijdelijk.

PIM

Premium P2 licentie biedt Privileged Identity Management — admin-rollen staan niet permanent aan, je activeert ze voor een sessie. Voor MKB: overweeg bij > 30 medewerkers voor je Global Admin-rol.

Zie ook: M365-pillar, PAM-artikel.