查看 YouTube 上的 Microsoft 365 小型企業說明。
您的 Microsoft 365 或 Office 365 訂閱隨附一組系統管理員角色,您可以在 Microsoft 365 系統管理中心中指派給組織中的使用者。 每個系統管理員角色都會對應至常見的商務功能,並授與組織中的人員在系統管理中心執行特定工作的權限。
重要事項
Microsoft 建議您使用權限最少的角色,並限制具有系統管理權限的使用者數目。
注意: 何謂系統管理員?
請在我們的 YouTube 頻道 上查看此影片和其他影片。
移至 Microsoft 365 系統管理中心並登入。 如果您可以存取 Microsoft 365 系統管理中心,您就是系統管理員,而且可以繼續進行下一個步驟。
在左側瀏覽窗格中,選取 [使用者]>[作用中使用者]。
選取您要設為管理員之人員的使用者帳戶。 使用者的詳細資料會出現在右側對話方塊中。
開始之前
Microsoft 365 系統管理中心可讓您管理 Microsoft Entra 角色和 Microsoft Intune 角色。 不過,這些角色是 Microsoft Entra 系統管理中心和 Microsoft Intune 系統管理中心中可用角色的子集。
如需您可以在 Microsoft 365 系統管理中心管理的詳細 Microsoft Entra 角色描述的完整清單,請參閱 Microsoft Entra 內建角色中的系統管理員角色許可權。
如需您可以在Microsoft 365 系統管理中心中管理的詳細 Intune 角色描述的完整清單,請參閱 使用 Microsoft Intune (RBAC) 角色型存取控制。
如需在 Microsoft 365 系統管理中心指派角色的詳細資訊,請參閱指派系統管理員角色。
指派角色的安全性指導方針
由於系統管理員可以存取敏感性資料和檔案,因此建議您遵循這些指導方針,以保護組織的資料更安全。
| 建議 | 為何重要 |
|---|---|
| 盡可能少地使用全域系統管理員 | 全域管理員幾乎可以無限制地存取您組織的設定及其大部分資料。 建議您盡可能限制全域系統管理員的數目。 全域系統管理員可能會不小心鎖定其帳戶,並要求重設密碼。 另一個全域系統管理員或特殊權限驗證系統管理員可以重設全域系統管理員的密碼。 因此,建議您至少有特殊許可權驗證系統管理員,以防全域系統管理員鎖定其帳戶。 |
| 指派最嚴謹角色 | 指派 最不寬鬆 的角色意味著只授予管理員完成工作所需的存取權限。 例如,如果您想要有人重設使用者密碼,則不應該指派無限制的全域系統管理員角色;相反地,您應該指派有限的管理員角色,例如密碼管理員或服務台管理員。 |
| 系統管理員需要多重要素驗證 (MFA) | 最好要求所有使用者 (尤其是系統管理員) 進行 MFA。 MFA 讓使用者使用第二種識別方法來驗證其身分。 管理員可以存取使用者資料,例如其名稱、電子郵件地址、位置等。 如果您需要 MFA,即使管理員的密碼遭到入侵,如果沒有其他識別方法,僅密碼也不足以登入。 當您開啟 MFA 時,使用者下次登入時,必須提供用於帳戶復原用途的備用電子郵件地址和電話號碼。 設定多重要素驗證 |
如果您在 Microsoft 365 系統管理中心收到訊息,指出您沒有編輯設定或頁面的許可權,這是因為您已指派給沒有該許可權的角色。 在此情況下,請採取下列其中一個動作:
- 請與其他管理員交談,為您指派正確的權限。
- 深入瞭解如何指派管理員角色。 請參閱 指派管理員角色。
- 請連絡商務用 Microsoft 365 的支援人員。
常用的 Microsoft 365 系統管理中心角色
若要檢視管理員角色,請遵循下列步驟:
在 Microsoft 365 系統管理中心中,移至 [角色指派]。
選取任何角色以開啟其詳細資料窗格。
選取 [許可權] 索引標籤,以檢視獲指派該角色的系統管理員有權執行之動作的詳細清單。
選取 [已指派] 或 [指派的系統管理員] 索引標籤來將使用者新增至角色。
若要檢視角色的完整清單,請移至清單底部,然後選取 [依類別顯示所有]。 如需詳細資訊,包括與角色相關聯的 Cmdlet,請參閱 Microsoft Entra 內建角色。
管理員角色和應指派的人員
下表列出管理員角色,以及應該指派這些角色的人員的相關資訊。
| 系統管理員角色 | 誰應獲指派此角色? |
|---|---|
| AI 管理員 | 將 AI 管理員角色指派給需要執行下列工作的使用者: • 允許使用者安裝應用程式或為組織中的使用者安裝應用程式(如果應用程式不需要許可權) • 讀取和設定 Azure 和 Microsoft 365 服務健康情況儀表板 • 檢視使用情況報告、採用深入解析和組織深入解析 • 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證 注意:AI 管理員角色目前受到限制。 若要取得完整的系統管理功能,建議使用全域系統管理員角色,直到 AI 系統管理員角色完整運作為止。 我們不斷擴大對更多功能的支援,以增強 AI 管理員角色。 |
| 計費管理員 | 將帳單系統管理員角色指派給進行購買、管理訂用帳戶和服務要求,以及監視服務健康情況的使用者。 帳單系統管理員無法指派授權;如果帳單管理員也是授權或使用者管理員,請造訪 授權以 指派授權。 帳單管理員還可以: • 管理計費的各個方面 • 在 Azure 入口網站 中建立和管理支援票證 |
| Exchange 系統管理員 | 將 Exchange 系統管理員角色指派給需要檢視和管理使用者電子郵件信箱、Microsoft 365 群組和 Exchange Online 的使用者。 Exchange 系統管理員也可以: • 恢復用戶郵箱中已刪除的項目 • 設置“發送方式”和“代表發送”代表 |
| Fabric 系統管理員 | 將 Fabric 系統管理員角色指派給需要執行下列工作的使用者: • 管理 Microsoft Fabric 和 Power BI 的所有管理功能 • 報告使用情況和性能 • 審查和管理審計 |
| 全域系統管理員 | 提供太多使用者全域存取權會造成安全性風險,建議您盡可能少地使用全域系統管理員。 只有全域系統管理員可以: • 重置所有用戶的密碼 • 添加和管理域 • 取消封鎖其他全域管理員 註冊 Microsoft 線上服務的人員會自動成為全域系統管理員。此外,只有全域系統管理員可以檢視和管理透過合作夥伴購買的訂用帳戶。 |
| 全域讀取者 | 將全域讀者角色指派給需要檢視全域系統管理員可以檢視的系統管理中心系統管理員功能和設定的使用者。 全域讀者無法編輯任何設定。 對於透過合作夥伴購買的訂閱,無法使用全域讀者角色。 |
| 圖形資料連線管理員 | 將 Graph 資料連線系統管理員角色指派給需要執行下列工作的使用者: • 存取 Microsoft Graph Data Connect 的完整系統管理功能 • 管理租用戶中的 Microsoft Graph 數據連接設置 • 啟用或停用 Microsoft Graph 資料連線服務 • 在 Microsoft Graph Data Connect 中設定資料集工作負載選取 • 在 Microsoft Graph Data Connect 中設定跨租用戶資料移動設定 • 檢視、核准或拒絕 Microsoft Graph Data Connect 的應用程式授權要求 • 檢視、建立、更新或刪除 Microsoft Graph Data Connect 的應用程式註冊 |
| 群組系統管理員 | 將群組管理員角色指派給需要跨系統管理中心管理所有群組設定的使用者,包括 Microsoft 365 系統管理中心和 Microsoft Entra 系統管理中心。 群組管理員可以: • 建立、編輯、刪除和還原 Microsoft 365 群組 • 建立和更新群組建立、到期和命名原則 • 建立、編輯、刪除和還原 Microsoft Entra 安全性群組 |
| 技術支援管理員 | 將服務台系統管理員角色指派給需要執行下列動作的使用者: • 重置密碼 • 強制用戶登出 • 管理服務請求 • 監控服務健康情況 技術支援人員系統管理員只能協助非系統管理員使用者的使用者,以及獲指派這些角色的使用者:目錄讀者、來賓邀請者、技術支援人員系統管理員、訊息中心讀者和報表讀者。 |
| 授權系統管理員 | 將授權系統管理員角色指派給需要指派和移除使用者授權,以及編輯其使用位置的使用者。 授權管理員還可以: • 重新處理以群組為基礎的授權的授權指派 • 將產品授權指派給群組,以進行群組型授權 |
| 訊息中心隱私權讀取者 | 將訊息中心隱私權讀取者角色指派給需要在 Microsoft 365 訊息中心讀取隱私權、安全性訊息和更新的使用者。 訊息中心隱私權讀者可能會收到與資料隱私權相關的電子郵件通知,視其喜好設定而定,而且他們可以使用訊息中心偏好設定取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此角色沒有檢視、建立或管理服務要求的權限。 訊息中心隱私權讀取者也可以: • 監控訊息中心中的所有通知,包括資料隱私訊息 • 檢視群組、網域和訂閱 |
| 訊息中心讀取者 | 將訊息中心讀者角色指派給需要執行下列工作的使用者: • 監控消息中心通知 • 獲取消息中心帖子和更新的每週電子郵件摘要 • 分享消息中心帖子 • 具有 Microsoft Entra 服務的唯讀存取權,例如使用者和群組 |
| 移轉系統管理員 | 將 Microsoft 365 移轉系統管理員角色指派給需要執行下列工作的使用者: • 使用 Microsoft 365 系統管理中心中的移轉管理員,管理從各種來源 (例如 Google Drive、Dropbox 和 Box) 到 Microsoft 365 的內容移轉,包括 Microsoft Teams、OneDrive 和 SharePoint 網站。 • 選取移轉來源、建立移轉清單 (,例如 Google 雲端硬碟使用者清單) 、排程和執行移轉,以及下載報告。 • 如果目的地網站尚不存在,請建立新的 SharePoint 網站,在 SharePoint 管理網站下建立 SharePoint 清單,以及建立和更新 SharePoint 清單中的項目。 • 管理任務的移轉專案設定和移轉生命週期,並管理從來源到目的地的權限對應。 使用此角色時,您只能從 Google Drive、Box、Dropbox 和 Egnyte 遷移。 此角色不允許您從 SharePoint 系統管理中心的檔案共用來源移轉。 使用 SharePoint 系統管理員從檔案共用來源移轉。 |
| Office應用程式系統管理員 | 將 Office Apps 系統管理員角色指派給需要執行下列工作的使用者: • 使用 Microsoft 365 的雲端原則服務來建立和管理雲端式原則。 • 創建和管理服務請求 • 管理使用者在 Microsoft 365 的應用程式中看到的新增功能內容 • 監控服務健康情況 • 管理 Office 腳本設置 |
| 組織訊息作者 | 將組織訊息撰寫器角色指派給需要透過 Microsoft 產品介面撰寫、發佈、管理和檢閱終端使用者組織訊息的使用者。 |
| 組織訊息核准者 | 將組織訊息核准者角色指派給需要檢閱、核准或拒絕新的組織訊息以在 Microsoft 365 系統管理中心傳遞的使用者,才能透過 Microsoft 產品介面傳送給使用者。 |
| 密碼管理員 | 將密碼管理員角色指派給需要為非管理員和密碼管理員的使用者重設密碼的使用者。 |
| 人員管理員 | 將人員系統管理員角色指派給需要執行下列工作的使用者: • 更新所有用戶(包括管理員)的個人資料照片 • 更新所有用戶的人員設置 (代詞、姓名發音和個人資料卡設置) |
| Power Platform 系統管理員 | 將 Power Platform 管理員角色指派給需要執行下列工作的使用者: • 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 和 Microsoft Purview 資料外洩防護的所有系統管理功能 • 創建和管理服務請求 • 監控服務健康情況 |
| 報告讀取者 | 將報告讀取者角色指派給需要執行下列工作的使用者: • 檢視 Microsoft 365 系統管理中心中的使用量數據和活動報告 • 存取 Power BI 採用內容套件 • 存取 Microsoft Entra ID 中的登入報告和活動 • 檢視 Microsoft Graph 報告 API 傳回的資料 |
| 搜尋系統管理員 | 將搜尋系統管理員角色指派給需要建立和管理搜尋結果內容的使用者,並定義查詢設定以改善組織內的搜尋結果。 搜尋系統管理員會管理 Microsoft 搜尋設定,並可以執行搜尋編輯器可以執行的所有內容管理工作。 |
| 服務支援系統管理員 | 將「服務支援」管理員角色指派給除了一般管理員角色之外,還需要執行下列工作的管理員或使用者: • 開啟和管理服務請求 • 查看和分享消息中心帖子 • 監控服務健康情況 |
| SharePoint 系統管理員 | 將 SharePoint 系統管理員角色指派給需要存取和管理 SharePoint 系統管理中心的使用者。 SharePoint 系統管理員也可以: • 創建和刪除站點 • 管理網站集合和全域 SharePoint 設定 |
| Teams 系統管理員 | 將 Teams 系統管理員角色指派給需要存取和管理 Teams 系統管理中心的使用者。 Teams 系統管理員也可以: • 管理會議 • 管理會議橋接器 • 管理所有組織範圍的設置,包括聯合、團隊升級和團隊客戶端設置 |
| 使用者系統管理員 | 將使用者管理員角色指派給需要為所有使用者執行下列工作的使用者: • 新增使用者和群組 • 分配許可證 • 管理大多數用戶屬性 • 創建和管理用戶視圖 • 更新密碼過期策略 • 管理服務請求 • 監控服務健康情況 使用者系統管理員也可以針對非系統管理員的使用者,以及指派下列角色的使用者執行下列動作:目錄讀取者、來賓邀請者、技術支援人員系統管理員、訊息中心讀取者、報表讀取者: • 管理用戶名 • 刪除和恢復用戶 • 重置密碼 • 強制用戶登出 • 更新 (FIDO) 設備密鑰 |
| 使用者體驗成功主管 | 將使用者體驗成功管理員角色指派給需要存取 Microsoft 365 系統管理中心中體驗深入解析、採用分數和訊息中心的使用者。 此角色包括「使用摘要報告讀者」角色的權限。 |
以系統管理員角色和 Microsoft 365 系統管理中心中的群組類型為基礎的許可權
| 管理員角色 | Microsoft 365 群組 | Security Groups | 動態通訊群組 | 已啟用郵件的安全性群組 |
|---|---|---|---|---|
| 全域管理員 | 建立、讀取、更新、刪除 | 建立、讀取、更新、刪除 | 建立、讀取、更新、刪除 | 建立、讀取、更新、刪除 |
| 全域讀取者 | 讀取 | 讀取 | 讀取 | 讀取 |
| 使用者系統管理員 | 建立、讀取、更新、刪除、 無法更新 EXO 屬性 | 建立、讀取、更新、刪除 | 讀取 | 讀取 |
| Exchange 系統管理員 | 建立、讀取、更新、刪除 | 讀取、更新 - 僅他們擁有的群組、刪除 - 僅他們擁有的群組 | 建立、讀取、更新、刪除 | 建立、讀取、更新、刪除 |
| Teams 系統管理員 | 建立、讀取、更新、刪除、 無法更新 EXO 屬性 | 建立、讀取、更新、刪除 - 僅擁有群組 | 讀取 | 讀取 |
| SharePoint 系統管理員 | 建立、讀取、更新、刪除、 無法更新 EXO 屬性 | 建立、讀取、更新、刪除 - 僅限他們擁有的群組 | 讀取 | 讀取 |
| 計費管理員 | 讀取 | 讀取 | 讀取 | 讀取 |
| 服務管理員 | 讀取 | 讀取 | 讀取 | 讀取 |
| 群組管理員 | 建立、讀取、更新、刪除、 無法更新 EXO 屬性 | 建立、讀取、更新、刪除 | 讀取 | 讀取 |
| AI 管理員 | 讀取 | 讀取 | 讀取 | 讀取 |
Microsoft 合作夥伴的委派系統管理
如果您正與 Microsoft 合作夥伴合作,您可以指派系統管理員角色給他們。 他們也可以反過來指派系統管理員角色給您公司 (或他們公司) 中的使用者。 如果合作夥伴正在為您設定和管理您的線上組織,您可能想要將管理員角色指派給合作夥伴。
合作夥伴可以指派以下角色:
管理員代理程式許可權相當於全域系統管理員,但透過合作夥伴中心管理多重要素驗證除外。
服務台代理人:等同於服務台系統管理員的權限。
在合作夥伴可以將這些角色指派給使用者之前,您必須先將該合作夥伴新增為您帳戶的委派系統管理員。 合作夥伴必須是授權合作夥伴。 合作夥伴會傳送電子郵件給您,詢問您是否想要授與其權限,以做為委派的系統管理員。如需指示,請參閱授權或移除合作夥伴關係。
大量授權角色
大量授權 (VL) 合約系統管理員會在Microsoft 365 系統管理中心中存取其大量授權。
- VL 系統管理員沒有 VL 區段之外任何其他系統管理中心資訊或功能的許可權。
- 全域系統管理員不會指派任何 VL 角色,也不需要將任何系統管理員角色指派給 VL 系統管理員,他們才能存取 VL 合約。
- 全域系統管理員無法存取系統管理中心中的 VL 資訊或功能,除非 VL 系統管理員指派 VL 角色。
如需詳細資訊,請參閱 管理大量授權使用者角色 或 連絡大量授權支援小組。