Organizasyon yapımız ve hizmet verdiğimiz kullanıcı sayımız büyüdükçe ihtiyaca göre belirli Admin yetkilerini birden fazla kişiye dağıtırız ya da bazı fonksiyonları sadece belli kullanıcıların kullanmasını sağlarız. Geleneksel On-prem yapıda durum böyle ve tabiki yeni Trend olan Bulut platformundaki SaaS hizmeti olan Office 365’ de de durum farklı değil. Şimdilik Office 365’ de Global admin, Billing admin, Password admin, Service admin ve User Management admin olmak üzere 5 Admin rolümüz bulunmaktadır. Şimdilik diyorum çünkü yakın bir zamanda bu 5 rol, Billing, Company, Exchange, Helpdesk, Lync, Service Support ve User admin olarak değişecektir(Power Shell de şimdiden değişmiştir).
Öncelikle bir hatırlatmada bulunmak istiyorum, Eğer Office 365 Smal Busines paketini kullanıyorsanız sadece Office 365 admin rolü bulunmaktadır, diğer roller bulunmamaktadır.
Bu makalede mevcut admin rollerin detaylarını ve birbirlerinden farklılıklarını inceleyip, yeni admin rollerinin de temel olarak birbirlerinden farklı yönlerini ele alacağız.
Billing admin: Lisans ya da paket satın alma, Subscription (abonelik) yönetimi, Microsoft’ a açılan biletlerin yönetimi ve Office 365 servislerin sağlık durumları takibi gibi görevlerden sorumludur.
Global admin: Bütün Office 365 yönetimsel işlemleri yapabilen tam yetkiye sahip roldür. Kullanıcılara admin rollerini atayabilen tek kullanıcı grubudur, Office 365 ortamında 1’ den fazla Global admin rolüne sahip kullanıcı olabilir ve diğer admin rolüne sahip kullanıcıların parolalarını resetleyebilen tek yetkili roldür.
Password admin: Office 365 ortamında herhangi bir admin rolüne sahip olmayan kullanıcıların parolalarının resetlenmesi, Office 365 servislerinin yönetimi, Monitoring işlemleri gibi konularda yetki sahibidir ve ortamdaki herhangi bir admin rolüne sahip kullanıcın parolasını resetleyemez.
Service admin: Sadece Office 365 servislerinin yönetimi ve monitor işlemlerinden sorumlu roldür.
Bu rolü ilgili kullanıcıya atamadan önce, ilk olarak ilgili servisin (Exchange Online, Lync Online, Sharepoint Online) yönetimsel izinlerinin verilmesi gerekmektedir, sonrasında Service admin yetkisi atanabilir.
User management admin: Kullanıcı parola resetleme, Office 365 servislerinin izlenmesi, kullanıcı ve grup açma-kapatma işlemlerinden sorumludur. Bu role sahip kullanıcılar Global admin rolüne sahip kullanıcı hesabını silememekte ve billing, global ve service adminlerinin parolalarını resetleyememektedirler.
Bu rollerin dışında Exchange Online’ ın RBAC (Role-based access control) yetkilendirmesi ve Sharepoint Online’ nında Site collection bazlı yetkilendirme özelliği bulunmaktadır.
Aşağıdaki tabloda karşılaştırmalı olarak rolleri görebilirsiniz;
Yetki |
Billing Admin |
Global Admin |
Password Admin |
Service Admin |
User Management Admin |
Organizasyon ve kullanıcı bilgilerinin görüntülenmesi |
Evet |
Evet |
Evet |
Evet |
Evet |
MS destek biletlerinin yönetimi |
Evet |
Evet |
Evet |
Evet |
Evet |
Kullanıcı parola resetleme |
Hayır |
Evet |
Evet, ama sadece admin olmayan kullanıcılar için |
Hayır |
Evet, ama Billing, Global ve Service adminler hariç |
Satın alma ve faturalama işlemleri |
Evet |
Evet |
Hayır |
Hayır |
Hayır |
Kullanıcı hesabı yönetimi |
Hayır |
Evet |
Hayır |
Hayır |
Evet |
Kullanıcı, grup ve lisans oluşturma, silme, değiştirme |
Hayır |
Evet |
Hayır |
Hayır |
Evet, ama Global admin silemez ve admin rolü atayamaz |
Domain yönetimi |
Hayır |
Evet |
Hayır |
Hayır |
Hayır |
Admin rollerinin delege edilmesi |
Hayır |
Evet |
Hayır |
Hayır |
Hayır |
Directory synchronization kullanımı |
Hayır |
Evet |
Hayır |
Hayır |
Hayır |
Yeni gelecek Admin Rol detaylarına da bakacak olursak;
Billing Administrator (Billing Admin): Lisans ya da paket satın alma, Subscription (abonelik) yönetimi, Microsoft’ a açılan biletlerin yönetimi ve Office 365 servislerin sağlık durumları takibi gibi görevlerden sorumludur.
Company Administrator (Global admin): Bütün yönetimsel işlemleri yapabilen tam yetkiye sahip roldür, Kullanıcılara admin rollerini atayabilen tek kullanıcı grubudur, Office 365 ortamında 1’ den fazla Global admin rolüne sahip kullanıcı olabilir ve diğer admin rolüne sahip kullanıcınların parolalarını resetleyebilen tek yetkili gruptur.
HelpDesk Administrator (Password admin): Office 365 ortamındaki herhangi bir admin rolüne sahip olmayan kullanıcıların parolalarının resetlenmesi, Office 365 servislerinin yönetimi, Monitoring işlemleri gibi konularda yetki sahibidir, Ortamdaki herhangi bir admin rolüne sahip kullanıcın parolasını resetleyemez.
User Administrator (User management admin): Kullanıcı parola resetleme, Office 365 servislerinin izlenmesi, kullanıcı ve grup açma-kapatma işlemlerinden sorumludur. Bu role sahip kullanıcılar Global admin rolüne sahip kullanıcı hesabını silememekte ve billing, global ve service adminlerinin parolalarını resetleyememektedirler.
Service support administrator (Service admin): Sadece Office 365 servislerinin yönetimi ve monitor işlemlerinden sorumlu roldür.
Exchange administrator: Bütün Exchange Online işlemlerinden ve yönetimden sorumludur.
Lync Administrator: Bütün Lync Online işlemlerinden ve yönetimden sorumludur.
Görüleceği gibi mevcut Admin rollerin isimleri değişmiş ve ilave olarak Exchange ile Lync Administrator admin roller eklenmiştir.
Admin rollerini kullanıcılara hem Office 365 yönetim ekranından hem de Power Shell üzerinden tanımlayabiliriz;
Office 365 yönetim ekranından rol atamak için önce Users ve sonra da Active Users’ a giriyoruz, ekranda Admin rolü atanacak kullanıcıyı bulduktan sonra edit butonuna tıklayarak kullanıcı özelliklerine girelim,
Kullanıcı özellikleri ekranında Settings’ e tıkladığımız da karşımıza Assign Role bölüme gelecek ve buradan istediğiniz rolü kullanıcıya atayabilirsiniz.
Power Shell üzerinden Admin Role atamak için;
Öncelikle Import-Module MSOnline ve ardından Connect-MsolService komutları ile Office365 tenant’ ımıza bağlanıyoruz,
Bağlantı kurduktan sonra mevcut rolleri görmek için Get-MsolRole komutunu çalıştıralım, komut çıktısında rollerin isimlerini kontrol ettiğimizde Office 365 yönetim ara yüzündeki eski roller yerine yeni rol isimlerini göreceksiniz. İlgili kullanıcımıza Global Admin yani yeni ismiyle Company Administrator rolünü atamak için bu komutu kullanabiliriz, isteğimize göre Get-MsolRole komut çıktısındaki herhangi bir rolü de kullanabiliriz.
Add-MsolRoleMember -RoleName “Company Administrator” -RoleMemberEmailAddress abhismail@lab08074.o365ready.com
Umarım faydalı olmuştur.