关于Microsoft 365 管理中心中的管理员角色

查看 YouTube 上的 Microsoft 365 小型企业帮助。 对于刚使用 Microsoft 365 的小型企业管理员，这些资源特别有用。

若要执行添加用户、分配许可证或配置服务等任务，需要在 Microsoft 365 商业版中具有管理员角色。 Microsoft 365 或 Office 365 订阅包括可在Microsoft 365 管理中心中分配的一组管理员角色。 每个管理员角色对应于常见的业务职能，并使组织中的人员能够在管理中心完成特定任务。 本文概述了管理员角色、需要记住的安全准则以及指向相关内容的链接。

观看：什么是管理员？

请在我们的 YouTube 频道中查看此视频和其他内容。

1. 转到Microsoft 365 管理中心并登录。 如果可以访问Microsoft 365 管理中心，则表示你是管理员，可以继续执行下一步。

2. 在左侧导航窗格中，选择“用户”>“活动用户”。 (或直接转到 “活动用户”页。)

3. 选择要成为管理员的人员的用户帐户。 用户的详细信息将显示在右侧对话框中。

开始之前

使用Microsoft 365 管理中心可以管理Microsoft Entra角色和Microsoft Intune角色。 但是，这些角色是Microsoft Entra 管理中心和Microsoft Intune管理中心中可用的角色的子集。

• 有关可在Microsoft 365 管理中心中管理的详细Microsoft Entra角色说明的完整列表，请参阅Microsoft Entra内置角色中的管理员角色权限。
• 有关可在Microsoft 365 管理中心中管理的详细Microsoft Intune角色说明的完整列表，请参阅基于角色的访问控制 (带有Microsoft Intune的 RBAC) 。

有关在 Microsoft 365 管理中心分配角色的详细信息，请参阅分配管理员角色。

重要

Microsoft建议使用权限最少的角色，并限制具有管理权限的用户数。 请参阅 Microsoft Entra ID 中按任务列出的最低特权角色。

分配角色的安全准则

由于管理员有权访问敏感数据和文件，因此请遵循这些准则，使组织的数据更安全。

建议	为什么它很重要
让全局管理员尽可能少	全局管理员几乎可以无限制地访问组织的设置及其大部分数据。 尽可能限制全局管理员的数量。 全局管理员可能会无意中锁定其帐户，并要求重置密码。 另一个全局管理员或特权身份验证管理员可以重置全局管理员的密码。 因此，如果全局管理员被锁定在其帐户外，请至少具有一名特权身份验证管理员。
分配最小权限角色	分配 最小权限 角色意味着仅授予管理员完成作业所需的访问权限。 例如，如果希望某人重置用户密码，请不要分配无限制的全局管理员角色。 请改为分配受限管理员角色，例如密码管理员或支持管理员。 请参阅 Microsoft Entra ID 中按任务列出的最低特权角色。
要求对管理员进行多重身份验证 (MFA)	要求所有用户（尤其是管理员）进行 MFA。 MFA 使用户使用第二种标识方法来验证其身份。 管理员可以访问用户数据，例如其名称、电子邮件地址、位置等。 如果需要 MFA，即使管理员的密码遭到入侵，单靠密码也不足以在没有其他标识方法的情况下登录。 启用 MFA 时，用户下次登录时，他们需要提供备用电子邮件地址和电话号码进行帐户恢复。 设置多重身份验证

如果在Microsoft 365 管理中心中收到一条消息，指示你没有编辑设置或页面的权限，这是因为你分配到的角色没有该权限。 在这种情况下，请执行以下一个或多个操作：

• 请与另一位管理员联系，为你分配正确的角色。
• 详细了解如何分配管理员角色。 请参阅 分配管理员角色。
• 请联系 Microsoft 365 商业版支持人员。

常用的 Microsoft 365 管理中心角色

若要查看管理员角色，请执行以下步骤：

1. 在Microsoft 365 管理中心中，转到“角色分配”。

2. 选择任何角色以打开其详细信息窗格。

3. 选择“ 权限 ”选项卡，查看分配了该角色的管理员有权执行的操作的详细列表。

4. 选择“已分配”或“已分配管理员”选项卡，以向角色添加用户。

   若要查看角色的完整列表，请转到列表底部，然后选择“ 全部按类别显示”。 有关详细信息，包括与角色关联的 cmdlet，请参阅Microsoft Entra内置角色。

管理员角色和应分配的人员

下表列出了管理员角色以及有关应为谁分配这些角色的信息。 若要查看角色的完整列表，请访问Microsoft Entra内置角色。

管理员角色	应该为谁分配此角色？
AI 管理员	此角色提供 AI 和代理范围的管理，但不授予广泛的租户范围Microsoft 365 工作负载管理。 将 AI 管理员角色分配给需要执行以下任务的用户： 管理智能 智能 Microsoft 365 Copilot 副驾驶® 副驾驶®的各个方面 在Microsoft 365 管理中心的“集成应用”页上管理与 AI 相关的企业服务、扩展性和 Copilot 代理 使用可用的管理员体验管理代理实例和代理标识，例如上传、发布、安装、激活以及阻止或取消阻止支持的代理 向请求权限的应用和代理授予租户范围的许可，Microsoft Graph 应用程序权限除外。 需要 Microsoft Graph 应用程序权限的应用或代理仍需要全局管理员批准。 查看使用情况报告、采用见解和组织见解 查看基本订阅属性 在代理的标识保护中查看标记为有风险的代理 如果应用不需要权限，则允许用户为组织中的用户安装应用或安装应用 读取和配置Microsoft Azure和Microsoft 365 服务运行状况仪表板 在Microsoft Azure 门户和Microsoft 365 管理中心中创建和管理支持请求 AI 管理员不管理人工用户许可或用户登录会话。 例如，某些高特权权限或同意方案 (某些Microsoft Graph 应用程序权限) 可能仍需要全局管理员或特权角色管理员。
AI 阅读器	此角色用于可见性、监视和报告，但不适用于管理。 将 AI 读取者角色分配给需要查看 AI 管理员可查看的管理中心中的功能和设置的用户。 AI 阅读器无法编辑任何设置。 将 AI 读取者角色分配给需要执行以下任务的用户： 阅读智能 智能 Microsoft 365 Copilot 副驾驶® 副驾驶®的各个方面 读取代理标识、代理标识蓝图主体和代理标识蓝图的所有属性 读取和配置Microsoft Azure和Microsoft 365 服务运行状况仪表板 查看使用情况报告、采用见解和组织见解 AI 读取者角色是只读角色，无法创建、发布、批准、激活、停用或修改代理。 AI 读取器无法管理代理可用性、权限、策略、许可证、许可或支持请求。
应用程序管理员	将应用程序管理员角色分配给需要创建和管理企业应用程序、应用程序注册和应用程序代理设置的各个方面的用户。 创建新的应用程序注册或企业应用程序时，不会将分配到此角色的用户添加为所有者。 此角色还授予同意委派权限和应用程序权限的能力，Azure AD Graph 和 Microsoft Graph 的应用程序权限除外。
计费管理员	将计费管理员角色分配给进行购买、管理订阅和服务请求以及监视服务运行状况的用户。 计费管理员还可以： 管理计费的所有方面 在Azure 门户中创建和管理支持票证
Exchange 管理员	将 Exchange 管理员角色分配给需要查看和管理用户的电子邮件邮箱、Microsoft 365 组和Exchange Online的用户。 Exchange 管理员还可以： 恢复用户邮箱中的已删除项目 设置“发送方式”和“代表发送”委托
构造管理员	将构造管理员角色分配给需要执行以下任务的用户： 管理 Microsoft Fabric 和 Power BI 的所有管理功能 报告使用情况和性能 查看和管理审核
全局管理员	这是特权角色。 全局管理员可以查看目录活动日志并提升其访问权限，以管理所有Microsoft Azure订阅和管理组。 全局管理员可以使用各自的Microsoft Entra租户获取对所有Microsoft Azure资源的完全访问权限。 为组织购买了订阅并注册Microsoft联机服务的人员是自动全局管理员。 组织中可以有多个全局管理员。 具有此角色的用户有权访问Microsoft Entra ID中的所有管理功能，以及使用Microsoft Entra标识的服务，例如Microsoft Defender门户、Microsoft Purview 门户、Exchange Online、SharePoint Online 和Skype for Business Online。 全局管理员可以： 重置任何用户和所有其他管理员的密码 管理组织的订阅和产品的购买 重置所有用户的密码 添加和管理域 取消阻止另一个全局管理员 此外，只有全局管理员可以查看和管理通过合作伙伴购买的订阅。 全局管理员无法移除其自己的全局管理员分配。 此限制旨在防止组织全局管理员为零的情况。
全局读取器	将全局读取者角色分配给需要执行以下任务的用户： 查看其租户的注册表中的代理概述和代理，以及有关指标的详细信息以及代理元数据详细信息的所有丰富性 在管理中心中查看全局管理员可以查看的管理员功能和设置。 全局读取器无法编辑任何设置。 对于通过合作伙伴购买的订阅，全局读者角色不可用。
组管理员	将组管理员角色分配给需要跨管理中心管理所有组设置的用户，包括Microsoft 365 管理中心和Microsoft Entra 管理中心。 组管理员可以： 创建、编辑、删除和还原Microsoft 365 组 创建和更新组创建、过期和命名策略 创建、编辑、删除和还原Microsoft Entra安全组 另请参阅管理谁可以创建Microsoft 365 组。
支持管理员	将支持人员管理员角色分配给需要执行以下任务的用户： 重置密码 强制用户注销 管理服务请求 监视服务运行状况 支持管理员只能帮助不是管理员用户的用户和分配了以下角色的用户：目录读取者、来宾邀请者、支持人员管理员、消息中心读取者和报表读取者。
许可证管理员	将许可证管理员角色分配给需要从用户分配和删除许可证并编辑其使用位置的用户。 许可证管理员还可以： 重新处理基于组的许可的许可证分配 为基于组的许可将产品许可证分配给组
消息中心隐私读取器	将消息中心隐私读取者角色分配给需要阅读 Microsoft 365 消息中心中的隐私和安全消息以及更新的用户。 消息中心隐私读取者可能会获得与数据隐私相关的电子邮件通知，具体取决于他们的首选项，并且他们可以使用消息中心首选项取消订阅。 只有全局管理员和消息中心隐私读取者可以读取数据隐私消息。 此角色无权查看、创建或管理服务请求。 消息中心隐私读取器还可以： 监视消息中心中的所有通知，包括数据隐私消息 查看组、域和订阅
消息中心读取器	将消息中心读取者角色分配给需要执行以下任务的用户： 监视消息中心通知 获取消息中心帖子和更新的每周电子邮件摘要 共享消息中心帖子 对Microsoft Entra服务（例如用户和组）具有只读访问权限
Microsoft Graph 数据连接管理员	将 Microsoft Graph Data Connect 管理员角色分配给需要执行以下任务的用户： 访问 Microsoft Graph Data Connect 的完整管理功能集 管理租户中的 Microsoft Graph Data Connect 设置 启用或禁用Microsoft Graph 数据连接服务 在 Microsoft Graph Data Connect 中配置数据集工作负荷选择 在 Microsoft Graph Data Connect 中配置跨租户数据移动设置 查看、批准或拒绝 Microsoft Graph Data Connect 的应用程序授权请求 查看、创建、更新或删除 Microsoft Graph Data Connect 的应用程序注册
迁移管理员	将 Microsoft 365 迁移管理员角色分配给需要执行以下任务的用户： 使用Microsoft 365 管理中心中的迁移管理器管理从 Google Drive、Dropbox 和 Box 等各种源迁移到 Microsoft 365 的内容迁移，包括Microsoft Teams、OneDrive 和 SharePoint 网站 选择迁移源、创建迁移清单 (如 Google Drive 用户列表) 、计划和执行迁移，以及下载报告 如果目标网站尚不存在，则创建新的 SharePoint 网站，在 SharePoint 管理网站下创建 SharePoint 列表，并在 SharePoint 列表中创建和更新项目 管理任务的迁移项目设置和迁移生命周期，并管理从源到目标的权限映射。 使用此角色，只能从 Google Drive、Box、Dropbox 和 Egnyte 迁移。 此角色不允许从 SharePoint 管理中心的文件共享源进行迁移。 使用 SharePoint 管理员从文件共享源迁移。
Office 应用管理员	将 Office 应用管理员角色分配给需要执行以下任务的用户： 使用适用于 Microsoft 365 的云策略服务创建和管理基于云的策略。 创建和管理服务请求 在 Microsoft 365 中管理用户在应用中看到的新增内容 监视服务运行状况 管理 Office 脚本设置
组织消息审批者	将组织消息审批者角色分配给需要审阅、批准或拒绝新组织邮件以在Microsoft 365 管理中心中传递的用户，然后才能通过Microsoft产品图面发送给用户。
组织消息编写器	将组织消息编写者角色分配给需要通过Microsoft产品图面为最终用户编写、发布、管理和查看组织消息的用户。
密码管理员	将密码管理员角色分配给需要重置用户密码的用户。
People管理员	将People管理员角色分配给需要执行以下任务的用户： 更新所有用户（包括管理员）的个人资料照片 更新所有用户的人员设置 (代词、名称发音和个人资料卡设置)
Power Platform Administrator	将 Power Platform Administrator 角色分配给需要执行以下任务的用户： 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 和 Microsoft Purview 数据丢失防护 的所有管理功能 创建和管理服务请求 监视服务运行状况
报表读取者	将“报告读取者”角色分配给需要执行以下任务的用户： 查看其租户的注册表中的代理概述和代理，以及有关指标的详细信息以及代理元数据详细信息的所有丰富性 在Microsoft 365 管理中心中查看使用情况数据和活动报告 获取对 Power BI 采用内容包的访问权限 访问 Microsoft Entra ID 中的登录报告和活动 查看Microsoft图形报告 API 返回的数据
搜索管理员	将搜索管理员角色分配给需要创建和管理搜索结果内容并定义查询设置以改进组织内搜索结果的用户。 搜索管理员管理Microsoft搜索配置，并可以执行搜索编辑器可以执行的所有内容管理任务。
安全管理员	将安全管理员角色分配给跨 Microsoft 365 管理安全控制和监视的用户。 此特权角色提供对安全性和合规性门户的访问权限，以及读取Microsoft 365 管理中心中代理的可见性，以便进行调查和风险评估，而无需允许代理发布或生命周期管理。
安全信息读取者	将安全读取者角色分配给需要跨 Microsoft 365 访问安全数据和监视见解的用户。 此特权角色提供对安全性和合规性门户的访问权限，包括Microsoft Defender、Microsoft Entra (ID 保护、Privileged Identity Management、登录报告和审核日志) ，以及 Microsoft Purview。 在Microsoft 365 管理中心中，此角色提供对代理和元数据的只读可见性，以实现安全审查和合规性目的，而无需允许代理发布或生命周期管理。
服务支持管理员	将服务支持管理员角色作为另一个角色分配给除了需要执行其通常的管理员角色外，还需要执行以下任务的管理员或用户： 打开和管理服务请求 查看和共享消息中心帖子 监视服务运行状况
SharePoint 管理员	将 SharePoint 管理员角色分配给需要访问和管理 SharePoint 管理中心的用户。 SharePoint 管理员还可以： 创建和删除网站 管理网站集和全局 SharePoint 设置
SharePoint 高级管理管理员	将 SharePoint 高级管理管理员角色分配给需要执行以下类型任务的用户： 使用 SharePoint 管理员 代理 管理 SharePoint 高级管理的所有方面 查看 SharePoint 网站中文件、文件夹、库、文档和列表的名称、路径和 URL，而无需访问文件或项目内容 删除 SharePoint 网站中的文件、文件夹、库、文档和列表的权限
Teams 管理员	将 Teams 管理员角色分配给需要访问和管理 Teams 管理中心的用户。 Teams 管理员还可以： 管理会议 管理会议网桥 管理所有组织范围的设置，包括联合身份验证、团队升级和团队客户端设置
用户管理员	将用户管理员角色分配给需要执行以下任务的用户： 创建、禁用或启用用户帐户 添加用户和组 分配许可证 管理大多数用户属性 创建和管理用户视图 更新密码过期策略 管理服务请求 监视服务运行状况 更新 (FIDO) 设备密钥 查看租户中代理的摘要，了解整体使用情况和采用趋势
用户体验成功管理器	将用户体验成功经理角色分配给需要执行以下任务的用户： 访问Microsoft 365 管理中心中的体验见解、采用分数和消息中心。 查看租户中代理的摘要，了解整体使用情况和采用趋势 此角色包括使用情况摘要报告读取者角色的权限。
Viva Glint 租户管理员	将 Viva Glint 租户管理员角色分配给管理 Viva Glint 应用的用户。 请参阅 分配 Viva Glint 租户和服务管理员。

另请参阅 检查组织中的管理员角色。

基于 Microsoft 365 管理员中心中的管理员角色和组类型的权限

管理员	Microsoft 365 组	Security Groups	动态通讯组	已启用邮件的安全组
全局管理员	创建、读取、更新、删除	创建、读取、更新、删除	创建、读取、更新、删除	创建、读取、更新、删除
全局读取器	读取	读取	读取	读取
用户管理员	创建、读取、更新、删除 (无法更新Exchange Online属性)	创建、读取、更新、删除	读取	读取
Exchange 管理员	创建、读取、更新、删除	读取、仅更新 (他们拥有) 的组、仅删除 (他们拥有的组)	创建、读取、更新、删除	创建、读取、更新、删除
Teams 管理员	创建、读取、更新、删除 (无法更新Exchange Online属性)	创建、读取、更新、删除 (他们拥有的组)	读取	读取
SharePoint 管理员	创建、读取、更新、删除 (无法更新Exchange Online属性)	创建、读取、更新、仅删除他们拥有的组	读取	读取
计费管理员	读取	读取	读取	读取
服务支持管理员	读取	读取	读取	读取
组管理员	创建、读取、更新、删除 (无法更新Exchange Online属性)	创建、读取、更新、删除	读取	读取
AI 管理员	读取	读取	读取	读取

Microsoft 合作伙伴的委派管理

如果你正在与Microsoft合作伙伴合作，可以为其分配管理员角色。 他们可以为你的公司或公司中的用户分配管理员角色。 如果合作伙伴正在为你设置和管理联机组织，则向合作伙伴分配管理员角色。

合作伙伴可以分配以下角色：

• 管理员代理特权等效于全局管理员，但通过合作伙伴中心管理多重身份验证除外。
• 支持人员代理，其权限等同于支持管理员。

在合作伙伴将这些角色分配给用户之前，必须将合作伙伴添加为委派管理员到你的帐户。 合作伙伴必须是授权合作伙伴。 合作伙伴向你发送一封电子邮件，询问你是否要授予他们充当委派管理员的权限。有关说明，请参阅 授权或删除合作伙伴关系。

批量许可角色

批量许可 (VL) 协议管理员访问其Microsoft 365 管理中心中的批量许可证。

• VL 管理员无权访问 VL 部分以外的任何其他管理中心信息或功能。
• 全局管理员不分配任何 VL 角色，也不需要将任何管理员角色分配给 VL 管理员，以便他们访问 VL 协议。
• 全局管理员无权访问管理中心中的 VL 信息或功能，除非 VL 管理员将他们分配到 VL 角色。

有关详细信息，请参阅 管理批量许可用户角色 或 联系批量许可支持团队。

相关内容

• 获取对面向业务的 Microsoft 365 的支持

• 在 Microsoft 365 商业版中重置密码

• 分配管理员角色

• 检查组织中的管理员角色

• 管理Microsoft Entra多重身份验证的用户身份验证方法

• Microsoft 365 管理员中心中的Microsoft Entra角色

• Microsoft 365 管理中心中的活动报表

• Exchange Online管理员角色