關於 Microsoft 365 系統管理中心的管理員角色

查看 YouTube 上的 Microsoft 365 小型企業說明。 這些資源對於剛接觸 Microsoft 365 的小型企業管理員特別有幫助。

要執行新增使用者、指派授權或設定服務等任務，您需要在 Microsoft 365 for Business 中擔任管理員角色。 您的 Microsoft 365 或 Office 365 訂閱包含一組管理員角色，您可以在 Microsoft 365 系統管理中心指派。 每個管理員角色對應於常見的業務功能，並讓組織內人員能在行政中心完成特定任務。 本文概述管理員角色、應注意的安全指引，以及相關內容連結。

注意: 何謂系統管理員?

請在我們的 YouTube 頻道 上查看此影片和其他影片。

1. 請前往 Microsoft 365 系統管理中心並登入。 如果你能存取 Microsoft 365 系統管理中心，你就是管理員，可以繼續下一步。

2. 在左側瀏覽窗格中，選取 [使用者]>[作用中使用者]。 (或者直接前往 活躍用戶頁面。)

3. 選擇你想設為管理員的使用者帳號。 使用者的詳細資料會出現在右側對話框中。

開始之前

Microsoft 365 系統管理中心讓你管理 Microsoft Entra 和 Microsoft Intune 角色。 然而，這些角色是 Microsoft Entra 系統管理中心和 Microsoft Intune 管理中心中角色的子集。

• 如需完整清單，您可以在Microsoft 365 系統管理中心中管理Microsoft Entra角色描述，請參閱Microsoft Entra內建角色中的管理員角色權限。
• 如需在Microsoft 365 系統管理中心中管理的完整Microsoft Intune角色描述，請參閱 RBAC) Microsoft Intune (基於角色的存取控制。

如需在 Microsoft 365 系統管理中心指派角色的詳細資訊，請參閱指派系統管理員角色。

重要事項

Microsoft 建議你使用權限最少的角色，並限制擁有管理員權限的使用者數量。 請參閱 Microsoft Entra ID 中的任務最低特權角色。

指派角色的安全性指導方針

由於管理員能存取敏感性資料和檔案，請遵循這些指引，以保障組織資料的安全。

建議	為什麼它很重要
盡量減少全球管理員數量	全球管理員幾乎可以無限存取你組織的設定和大部分資料。 盡量限制全球管理員的數量。 全域管理員可能會不小心鎖定帳號，並要求重新設定密碼。 其他全域管理員或特權認證管理員都可以重設全域管理員的密碼。 因此，至少要有一位特權認證管理員，以防全域管理員被鎖在帳號外面。
指派最嚴謹角色	指派 最不允許 的角色意味著只給管理員完成工作所需的存取權限。 舉例來說，如果你想讓某人重設使用者密碼，就不要設定無限的全域管理員角色。 相反地，應該指定一個有限的管理員角色，例如密碼管理員或客服管理員。 請參閱 Microsoft Entra ID 中的任務最低特權角色。
要求管理員多重驗證 (多重驗證)	要求所有使用者，尤其是管理員，都必須取得多重身份驗證（MFA）。 多重身份驗證讓使用者使用第二種身份驗證方式。 管理員可以存取使用者資料，例如姓名、電子郵件地址、位置等等。 如果你需要多重身份驗證（MFA），即使管理員的密碼被洩露，光靠密碼也不足以在沒有其他身份識別方式的情況下登入。 當你開啟多重身份驗證（MFA）時，下次使用者登入時，他們需要提供另一個電子郵件地址和電話號碼來恢復帳號。 設定多重要素驗證

如果你在 Microsoft 365 系統管理中心收到訊息，表示你沒有編輯某個設定或頁面的權限，那是因為你被指派到一個沒有該權限的角色。 在這種情況下，採取以下一項或多項行動：

• 找另一位管理員幫你分配正確的職位。
• 了解更多管理員角色的分配方式。 請參見 「指派管理員角色」。
• 請聯絡 Microsoft 365 商務支援。

常用的 Microsoft 365 系統管理中心角色

要查看管理員角色，請依照以下步驟操作：

1. 在 Microsoft 365 系統管理中心，請前往角色分配。

2. 選擇任一角色以開啟其詳細面板。

3. 選擇 權限 標籤，查看該角色管理員擁有權限的詳細清單。

4. 選取 [已指派] 或 [指派的系統管理員] 索引標籤來將使用者新增至角色。

   要查看完整職缺清單，請到列表底部並選擇「 依類別全部顯示」。 如需詳細資訊，包括與角色相關的 cmdlet，請參閱 Microsoft Entra 內建角色。

管理員角色及應指派人員

下表列出管理員角色及應指派這些職務的相關資訊。 欲查看完整職務清單，請造訪 Microsoft Entra 內建角色頁面。

系統管理員角色	誰應獲指派此角色？
人工智慧管理員	此職位提供 AI 與代理級的管理，但不賦予廣泛的租戶範圍 Microsoft 365 工作負載管理。 將 AI 管理員角色指派給需要執行以下任務的使用者： 管理 Microsoft 365 Copilot 的所有面向 在 Microsoft 365 系統管理中心的整合應用程式頁面管理 AI 相關企業服務、擴充性及 Copilot 代理 利用可用的管理員經驗管理代理實例與代理身份，例如上傳、發布、安裝、啟用，以及在支援時封鎖或解除封鎖代理 授予使用者全體同意，適用於申請權限的應用程式與代理程式，但不包括 Microsoft Graph 應用程式權限。 需要 Microsoft Graph 應用程式權限的應用程式或代理程式，仍需全域管理員批准。 查看使用報告、採用洞察及組織洞察 查看基本訂閱屬性 查看身份保護中被標記為風險的代理人 允許使用者安裝應用程式，或若應用程式不需要權限，則可為組織內使用者安裝應用程式 閱讀並配置 Microsoft Azure 與 Microsoft 365 服務健康儀表板 在 Microsoft Azure 入口網站及 Microsoft 365 系統管理中心建立並管理支援請求 AI 管理員不管理人工使用者授權或使用者登入會話。 某些高權限權限或同意情境 (某些Microsoft圖應用程式權限) 仍可能需要全域管理員或特權角色管理員。
AI 閱讀器	此職務主要用於可見性、監控與報告，但非行政管理。 將 AI 閱讀器角色指派給需要查看管理員中心功能與設定的使用者，這些功能由 AI 管理員查看。 AI 閱讀器無法編輯任何設定。 將 AI 閱讀器角色指派給需要執行以下任務的使用者： 閱讀 Microsoft 365 Copilot 的所有相關資訊 閱讀代理人身份、代理人身份藍圖主體及代理人身份藍圖的所有屬性 閱讀並配置 Microsoft Azure 與 Microsoft 365 服務健康儀表板 查看使用報告、採用洞察及組織洞察 AI Reader 的角色是唯讀，無法建立、發佈、核准、啟用、停用或修改代理。 AI 閱讀器無法管理客服人員的可用性、權限、政策、授權、同意或支援請求。
應用程式管理員	將應用程式管理員角色指派給需要建立和管理企業應用程式、應用程式註冊及應用程式代理設定所有面向的使用者。 被指派到此角色的使用者在建立新應用程式註冊或企業應用程式時，不會被加入為擁有者。 此角色同時授權授權權限及應用程式權限，但 Azure AD Graph 與 Microsoft Graph 的應用程式權限除外。
帳單管理員	將帳單管理員角色指派給進行購買、管理訂閱與服務請求，以及監控服務健康狀況的使用者。 帳單管理員也可以： 管理帳務的所有面向 在 Azure 入口網站建立並管理支援工單
交易所管理員	將 Exchange 管理員角色指派給需要查看和管理您使用者電子郵件信箱、Microsoft 365 群組及 Exchange Online 的使用者。 交易所管理員還可： 復原使用者信箱中已刪除的郵件 設立「Send As」和「Send on bereside」的代表
Fabric 管理員	將 Fabric 管理員角色指派給需要執行以下任務的使用者： 管理 Microsoft Fabric 與 Power BI 的所有管理功能 使用與效能報告 審查與管理審計
全域管理員	這是一個特權角色。 全域管理員可以查看目錄活動日誌，並提升權限管理所有 Microsoft Azure 訂閱和管理群組。 全球管理員可透過各自的 Microsoft Entra 租戶，獲得所有 Microsoft Azure 資源的完整存取權。 購買訂閱並註冊 Microsoft 線上服務的人自動成為全球管理員。 您的組織中可能有不只一位全球管理員。 擁有此角色的使用者可使用Microsoft Entra ID中的所有管理功能，以及使用Microsoft Entra身份的服務，如Microsoft Defender入口網站、Microsoft Purview入口網站、Exchange Online、SharePoint Online和商務用 Skype線上。 全球管理員可以： 為任何使用者及其他管理員重設密碼 管理貴組織訂閱與產品的購買 所有使用者的密碼重設 新增與管理網域 解除封鎖另一位全域管理員 此外，只有全球管理員能查看和管理透過合作夥伴購買的訂閱。 全域系統管理員無法移除自己的全域系統管理員指派。 此限制是為了避免組織出現全球管理員為零的情況。
全球讀者	將全域讀取器角色指派給需要執行以下任務的使用者： 查看代理總覽及其租戶登錄中的代理，並附有關於指標的詳細資訊及代理元資料的豐富細節 在管理中心查看全域管理員可查看的管理員功能與設定。 全域閱讀器無法編輯任何設定。 透過合作夥伴購買的訂閱，則無法提供全球讀者角色。
群組管理員	將群組管理員角色指派給需要管理跨管理中心所有群組設定的使用者，包括 Microsoft 365 系統管理中心和 Microsoft Entra 系統管理中心。 群組管理員可以： 建立、編輯、刪除及還原 Microsoft 365 群組 建立並更新群組建立、到期及命名政策 建立、編輯、刪除及還原 Microsoft Entra 安全群組 另請參閱管理誰能建立 Microsoft 365 群組。
客服台管理員	將客服台管理員角色指派給需要執行以下任務的使用者： 重設密碼 強制使用者登出 管理服務請求 監控服務健康狀況 客服管理員只能協助非管理員使用者，以及被指派以下角色的使用者：目錄閱讀者、訪客邀請者、客服管理員、訊息中心閱讀器及報告閱讀器。
授權管理員	指派授權管理員角色給需要分配與移除授權並編輯使用者使用位置的使用者。 授權管理員也可以： 重新處理團體授權的授權分配 將產品授權指派給群組以進行群組授權
訊息中心隱私閱讀器	將訊息中心隱私閱讀器角色指派給需要閱讀 Microsoft 365 訊息中心隱私與安全訊息及更新的使用者。 訊息中心的隱私閱讀者可能會收到與資料隱私相關的電子郵件通知，視其偏好而定，並可透過訊息中心偏好設定取消訂閱。 只有全球管理員和訊息中心隱私閱讀者能閱讀資料隱私訊息。 此角色沒有檢視、建立或管理服務要求的權限。 訊息中心的隱私閱讀者還可： 監控訊息中心的所有通知，包括資料隱私訊息 查看群組、網域與訂閱
訊息中心閱讀器	將訊息中心閱讀器角色指派給需要執行以下任務的使用者： 監控訊息中心通知 每週收到訊息中心貼文與更新的電子郵件摘要 分享訊息中心文章 擁有 Microsoft Entra 服務的唯讀存取權，例如使用者與群組
Microsoft 圖資料連接管理員	指派 Microsoft Graph 資料連接管理員角色給需要執行以下任務的使用者： 存取 Microsoft Graph Data Connect 的完整管理功能 管理租戶中的 Microsoft Graph 資料連接設定 啟用或停用 Microsoft Graph Data Connect 服務 在 Microsoft Graph Data Connect 中設定資料集工作負載的選擇 在 Microsoft Graph Data Connect 中設定跨租戶資料移動設定 檢視、批准或拒絕 Microsoft Graph Data Connect 的應用程式授權請求 查看、建立、更新或刪除 Microsoft Graph Data Connect 的應用程式註冊
遷移管理員	將 Microsoft 365 遷移管理員角色指派給需要執行以下任務的使用者： 使用Microsoft 365 系統管理中心的遷移管理員，管理從 Google Drive、Dropbox 和 Box 等多個來源遷移至 Microsoft 365 的內容，包括 Microsoft Teams、OneDrive 和 SharePoint 網站 選擇遷移來源，建立遷移清單 (如 Google Drive 使用者名單) ，排程並執行遷移，以及下載報告 如果目的地網站還不存在，請建立新的 SharePoint 網站，在 SharePoint 管理員網站下建立 SharePoint 清單，並在 SharePoint 清單中建立和更新項目 管理遷移專案設定與任務的遷移生命週期，並管理從來源到目的地的權限映射。 這個職位只能從 Google Drive、Box、Dropbox 和 Egnyte 遷移。 這個職位不允許你從 SharePoint 管理中心的檔案分享來源遷移。 使用 SharePoint 管理員來從檔案分享來源遷移。
Office Apps 管理員	將 Office Apps 管理員角色指派給需要執行以下任務的使用者： 使用 Microsoft 365 的雲端政策服務來建立和管理雲端政策。 建立與管理服務請求 管理使用者在 Microsoft 365 應用程式中看到的「最新內容」 監控服務健康狀況 管理 [Office 指令碼] 設定
組織訊息審核	將組織訊息審核者角色指派給需要在 Microsoft 365 系統管理中心審核、批准或拒絕新的組織訊息以發送給使用者的使用者，然後再透過 Microsoft 產品表面發送。
組織訊息撰寫者	將組織訊息撰寫者角色指派給需要撰寫、發布、管理及審查 Microsoft 產品表層終端用戶組織訊息的使用者。
密碼管理員	將密碼管理員角色指派給需要重設使用者密碼的使用者。
People 管理員	將 People 管理員角色指派給需要執行以下任務的使用者： 更新所有用戶（包括管理員）的個人照片 更新所有使用者的設定， (代名詞、名字發音和個人資料卡設定)
Power Platform 管理員	將 Power Platform 管理員角色指派給需要執行以下任務的使用者： 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 及 Microsoft Purview 資料外洩防護的所有管理功能 建立與管理服務請求 監控服務健康狀況
報告閱讀	將報告閱讀器角色指派給需要執行以下任務的使用者： 查看代理總覽及其租戶登錄中的代理，並附有關於指標的詳細資訊及代理元資料的豐富細節 在 Microsoft 365 系統管理中心查看使用數據與活動報告 取得 Power BI 採用內容包的存取權 取得 Microsoft Entra ID 中的登入報告與活動 查看 Microsoft Graph reporting API 回傳的資料
搜尋管理員	將搜尋管理員角色指派給需要建立和管理搜尋結果內容的使用者，並定義查詢設定以改善組織內的搜尋結果。 搜尋管理員負責管理 Microsoft 搜尋設定，並能執行搜尋編輯器能執行的所有內容管理任務。
安全性系統管理員	將安全管理員角色指派給管理 Microsoft 365 安全控制與監控的使用者。 此特權角色提供存取安全與合規入口網站，並在 Microsoft 365 系統管理中心中讀取代理的可視性，以便調查與風險評估，但不允許代理發布或生命週期管理。
安全性讀取者	將安全閱讀器角色指派給需要存取 Microsoft 365 安全資料與監控洞察的使用者。 此特權角色提供存取安全與合規入口網站，包括Microsoft Defender、Microsoft Entra (ID 保護、Privileged Identity Management、登入報告、稽核日誌) 及 Microsoft Purview。 在 Microsoft 365 系統管理中心中，此角色提供代理與元資料的唯讀可視性，用於安全審查與合規，且不允許代理發布或生命週期管理。
服務支援管理員	將服務支援管理員角色指派為需要執行以下任務的管理員或使用者，作為其除一般管理員角色外的另一個角色： 開啟並管理服務請求 瀏覽與分享訊息中心文章 監控服務健康狀況
SharePoint 管理員	將 SharePoint 管理員角色指派給需要存取並管理 SharePoint 管理中心的使用者。 SharePoint 管理員也可以： 建立與刪除網站 管理網站收藏與全域 SharePoint 設定
SharePoint 進階管理管理員	將 SharePoint 進階管理管理員角色指派給需要執行以下任務的使用者： 使用 SharePoint 管理員代理程式 管理 SharePoint 進階管理的所有面向 在 SharePoint 網站中查看檔案、資料夾、函式庫、文件和清單的名稱、路徑和網址，無需存取檔案或項目內容 移除 SharePoint 網站中檔案、資料夾、函式庫、文件和清單的權限
Teams 系統管理員	將 Teams 管理員角色指派給需要存取和管理 Teams 管理中心的使用者。 Teams 管理員也可以： 管理會議 管理會議橋接 管理所有組織範圍的設定，包括聯盟、Teams 升級和 Teams 用戶端設定
使用者管理員	將使用者管理員角色指派給需要執行以下任務的使用者： 建立、停用或啟用使用者帳號 新增使用者和群組 指派授權 管理大多數使用者的屬性 建立與管理使用者視圖 更新密碼過期政策 管理服務請求 監控服務健康狀況 更新 (FIDO) 裝置金鑰 查看您租戶內的代理人摘要，以掌握整體使用與採用趨勢
使用者體驗成功主管	將使用者體驗成功經理角色指派給需要執行以下任務的使用者： 存取 Microsoft 365 系統管理中心的體驗洞察、採用分數及訊息中心。 查看您租戶內的代理人摘要，以掌握整體使用與採用趨勢 此角色包含使用摘要報告讀取者角色的權限。
Viva Glint 租戶管理員	將 Viva Glint 租戶管理員角色指派給管理 Viva Glint 應用程式的使用者。 請參見 指派 Viva Glint 租戶與服務管理員。

另請參閱 「檢查你組織中的管理員角色」。

Microsoft 365 管理員中心中基於管理員角色與群組類型的權限

系統管理員	Microsoft 365 群組	Security Groups	動態通訊群組	郵件啟用安全群組
全域管理員	建立、閱讀、更新、刪除	建立、閱讀、更新、刪除	建立、閱讀、更新、刪除	建立、閱讀、更新、刪除
全球讀者	讀取	讀取	讀取	讀取
使用者管理員	建立、閱讀、更新、刪除 (無法更新Exchange Online屬性)	建立、閱讀、更新、刪除	讀取	讀取
交易所管理員	建立、閱讀、更新、刪除	讀：只更新 (他們擁有的群組) ，刪除 (只擁有的群組)	建立、閱讀、更新、刪除	建立、閱讀、更新、刪除
Teams 系統管理員	建立、閱讀、更新、刪除 (無法更新Exchange Online屬性)	只 (他們擁有的群組建立、讀取、更新、刪除)	讀取	讀取
SharePoint 管理員	建立、閱讀、更新、刪除 (無法更新Exchange Online屬性)	建立、讀取、更新、刪除——只屬於他們擁有的群組	讀取	讀取
帳單管理員	讀取	讀取	讀取	讀取
服務支援管理員	讀取	讀取	讀取	讀取
群組管理員	建立、閱讀、更新、刪除 (無法更新Exchange Online屬性)	建立、閱讀、更新、刪除	讀取	讀取
AI 管理員	讀取	讀取	讀取	讀取

Microsoft 合作夥伴的委派系統管理

如果你和 Microsoft 合作夥伴合作，可以指派他們管理員角色。 他們可以指派你公司或他們公司中的使用者管理員角色。 如果合作夥伴幫你建立和管理線上組織，請指派管理員角色。

合作夥伴可以指派以下角色：

• 管理員代理權限相當於全域管理員，但透過合作夥伴中心管理多重驗證。
• 服務台代理人：等同於服務台系統管理員的權限。

在合作夥伴將這些角色指派給使用者之前，您必須先將合作夥伴加入您的帳戶，成為委派管理員。 合夥人必須是授權合夥人。 合作夥伴會寄信問你是否願意授權他們作為委派管理員。相關說明請參見 授權或移除伴侶關係。

大量授權角色

批量授權 (VL) 協議管理員在Microsoft 365 系統管理中心中存取其磁碟授權。

• VL 管理員沒有權限存取 VL 區塊以外的其他管理中心資訊或功能。
• 全域管理員不需要指派任何虛擬實錄角色，也不需要指定任何虛擬實錄管理員角色才能存取虛擬實錄協議。
• 全域管理員無法存取管理中心的 VL 資訊或功能，除非 VL 管理員指派他們為 VL 角色。

欲了解更多資訊，請參閱 管理批量授權使用者角色 ，或 聯絡批量授權支援團隊。

相關內容

• 取得商務用 Microsoft 365 支援

• 在 Microsoft 365 商業版中重設密碼

• 指派系統管理員角色

• 檢查你組織中的管理員角色

• 管理 Microsoft Entra 多重身份驗證的使用者認證方法

• Microsoft Entra 在 Microsoft 365 管理員中心的角色

• Microsoft 365 系統管理中心的活動報告

• Exchange Online 管理員角色