关于 Microsoft 365 管理中心中的管理员角色

查看 YouTube 上的 Microsoft 365 小型企业帮助

Microsoft 365 或 Office 365 订阅附带了一组可以使用 Microsoft 365 管理中心分配给组织中的用户的管理员角色。 每个管理员角色都映射到常用的业务功能,并授予这些用户在管理中心执行特定任务的权限。

提示

如果需要有关本主题中步骤的帮助,请考虑 与 Microsoft 小型企业专家合作。 借助业务助手,你和你的员工在发展业务时,可以在从加入到日常使用的各个方面全天候访问小型企业专家。

观看:什么是管理员?

请在我们的 YouTube 频道中查看此视频和其他内容。

  1. 登录 Microsoft 365 后,选择应用启动器。 如果看到“管理”按钮,则表示你就是管理员。
  2. 选择“管理”以转至 Microsoft 365 管理中心。
  3. 在左侧导航窗格中,选择“用户”>活动用户
  4. 选择要设置为管理员的人员。用户的详细信息显示在右侧对话框中。

准备工作

使用Microsoft 365 管理中心可以管理Microsoft Entra角色和Microsoft Intune角色。 但是,这些角色是 Microsoft Entra 管理中心和 Intune 管理中心中可用的角色的子集。

有关可在Microsoft 365 管理中心中管理的详细Microsoft Entra角色说明的完整列表,检查Microsoft Entra内置角色中的管理员角色权限。

有关可在Microsoft 365 管理中心中管理的详细Intune角色说明的完整列表,请检查基于角色的访问控制 (RBAC) Microsoft Intune

有关在 Microsoft 365 管理中心 中分配角色的详细信息,请参阅 分配管理员角色

分配角色的安全准则

由于管理员有权访问敏感数据和文件,因此我们建议你按照以下准则操作,以使组织的数据更加安全。

建议 这为什么重要?
让全局管理员尽可能少 全局管理员几乎可以无限制地访问组织的设置及其大部分数据。 建议尽量限制全局管理员的数量。 全局管理员可能会无意中锁定其帐户,并要求重置密码。 另一个全局管理员或特权身份验证管理员可以重置全局管理员的密码。 因此,建议在全局管理员帐户被锁定时,至少有一名特权身份验证管理员。
分配最小权限角色 分配最小权限角色意味着只向管理员授予完成工作所需的访问权限。 例如,如果希望某人重置员工密码,则不应分配无限制的全局管理员角色,则应分配有限的管理员角色,例如密码管理员或支持管理员。
要求对管理员进行多重身份验证 实际上,要求对所有用户都执行 MFA 是一个好主意,但而管理员绝对有必要使用 MFA 进行登录。 MFA 使用户使用第二种标识方法来验证其身份。 管理员可以访问大部分客户和员工数据。 如果需要 MFA,即使管理员的密码遭到入侵,如果没有第二种标识方法,密码也无用。

如果你已启用 MFA,则当用户下一次登录时,他们需要提供备选电子邮件地址和电话号码才能恢复帐户。
设置多重身份验证

如果你在管理中心收到一条消息,指出你无权编辑设置或页面,这是因为你分配的角色没有该权限。 请与另一个管理员联系,为你分配正确的权限,或者请参阅 分配管理员角色 以为自己分配正确的角色。

常用的 Microsoft 365 管理中心角色

在 Microsoft 365 管理中心,可以转到“角色分配”,然后选择任何角色以打开其详细信息窗格。 选择“权限”选项卡,以查看分配有该角色的管理员有权执行的操作的详细列表。 选择“已分配”或“已分配管理员”选项卡,以向角色添加用户。

你可能只需要在组织中分配以下角色。 默认情况下,我们首先显示大多数组织使用的角色。 如果找不到角色,请转到列表底部并选择“按类别全部显示”。 有关详细信息,包括与角色关联的 cmdlet,请参阅Microsoft Entra内置角色

管理员角色 应该为谁分配此角色?
AI 管理员 将 AI 管理员角色分配给需要执行以下任务的用户:
• 管理智能 Microsoft 365 Copilot 副驾驶®的各个方面
• 从Microsoft 365 管理中心的“集成应用”页管理 AI 相关的企业服务、扩展性和 copilot 代理
• 批准和发布业务线 copilot 代理
• 如果应用不需要权限,则允许用户为组织中的用户安装应用或安装应用
• 读取和配置 Azure 和 Microsoft 365 服务运行状况仪表板
• 查看使用情况报告、采用见解和组织见解
• 在 Azure 和 Microsoft 365 管理中心中创建和管理支持票证
帐务管理员 向购买用户分配帐单管理员角色,管理订阅和服务请求,并监视服务运行状况。 计费管理员无法分配许可证;如果计费管理员也是许可证管理员或用户管理员,请访问 许可证 以分配许可证。

帐单管理员可以:
• 管理计费的所有方面
• 在Azure 门户中创建和管理支持票证

Exchange 管理员 将 Exchange 管理员角色分配给需要查看和管理用户电子邮件邮箱、Microsoft 365 组和 Exchange Online 的用户。

Exchange 管理员还可以:
• 恢复用户邮箱中已删除的项目
• 设置“发送方式”和“代表发送”委托
Fabric 管理员 将 Fabric 管理员角色分配给需要执行以下操作的用户:
• 管理 Microsoft Fabric 和 Power BI 的所有管理功能
• 报告使用情况和性能
• 查看和管理审核
全局管理员 为过多的用户提供全局访问权限是一种安全风险,我们建议你尽可能少地使用全局管理员。

只有全局管理员才能执行以下操作:
• 重置所有用户的密码
• 添加和管理域
• 取消阻止其他全局管理员

注意:注册Microsoft联机服务的人员将自动成为全局管理员。此外,只有全局管理员才能查看和管理通过合作伙伴购买的订阅。
全局读取者 向需要在可供全局管理员查看的管理中心中查看管理员功能和设置的用户分配全局读取者角色。 全局读取者管理员不能编辑任何设置。
组管理员 向需要跨管理中心(包括 Microsoft 365 管理中心和 Microsoft Entra 管理员中心)管理所有组设置的用户分配组管理员角色。

组管理员可以:
• 创建、编辑、删除和还原Microsoft 365 个组
• 创建和更新组创建、过期和命名策略
• 创建、编辑、删除和还原Microsoft Entra安全组
支持管理员 为需要执行以下操作的用户分配支持管理员角色:
• 重置密码
• 强制用户注销
• 管理服务请求
• 监视服务运行状况

注意:支持管理员只能帮助非管理员用户和分配有以下角色的用户:目录读取者、来宾邀请者、支持管理员、消息中心读取者和报表阅读人员。
许可证管理员 为需要分配管理许可证的用户分配许可证管理员角色,删除用户的许可证并编辑其使用位置。

帐单管理员可以:
• 重新处理基于组的许可的许可证分配
• 将产品许可证分配给组以使用基于组的许可
消息中心隐私读取者 将消息中心隐私读取者角色分配给需要在 Microsoft 365 消息中心读取隐私和安全邮件以及更新的用户。 消息中心隐私读取者可能会收到与数据隐私相关的电子邮件通知,具体取决于他们的首选项,他们可以使用消息中心首选项取消订阅。 只有全局管理员和消息中心隐私读取者才能读取数据隐私消息。 此角色无权查看、创建或管理服务请求。

消息中心隐私读取者还可以:
• 监视消息中心中的所有通知,包括数据隐私消息
• 查看组、域和订阅
消息中心读取者 为需要执行以下操作的用户分配消息中心读取者角色:
• 监视消息中心通知
• 获取邮件中心帖子和更新的每周电子邮件摘要
• 共享消息中心帖子
• 对Microsoft Entra服务(例如用户和组)具有只读访问权限
迁移管理员 将 Microsoft 365 迁移管理员角色分配给需要执行以下任务的用户:
• 使用 Microsoft 365 管理中心中的迁移管理器管理从 Google Drive、Dropbox 和 Box 等各种源到 Microsoft 365 的内容迁移,包括 Teams、OneDrive for Business和 SharePoint 网站。
• 选择迁移源, (创建迁移清单,例如 Google Drive 用户列表) 、计划和执行迁移,以及下载报告。
• 如果目标网站尚不存在,则创建新的 SharePoint 网站,在 SharePoint 管理网站下创建 SharePoint 列表,并在 SharePoint 列表中创建和更新项目。
• 管理任务的迁移项目设置和迁移生命周期,以及管理从源到目标的权限映射。

注意: 使用此角色,只能从 Google Drive、Box、Dropbox 和 Egnyte 迁移。 此角色不允许从 SharePoint 管理中心的文件共享源进行迁移。 使用 SharePoint 管理员从文件共享源迁移。
Office 应用管理员 为需要执行以下操作的用户分配 Office 应用管理员角色:
• 使用适用于 Microsoft 365 的云策略服务来创建和管理基于云的策略。
• 创建和管理服务请求
• 管理用户在 Microsoft 365 的应用中看到的新增内容
• 监视服务运行状况
组织消息编写者 将组织消息编写者角色分配给需要通过Microsoft产品图面为最终用户编写、发布、管理和查看组织消息的用户。
组织消息审批者 将组织消息审批者角色分配给需要审阅、批准或拒绝新组织邮件以在Microsoft 365 管理中心中传递的用户,然后才能通过Microsoft产品图面将其发送给用户。
密码管理员 将密码管理员角色分配给需要为非管理员和密码管理员重置密码的用户。
Power 平台管理员 为需要执行以下操作的用户分配 Power Platform 管理员角色:
• 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 和 Microsoft Purview 数据丢失防护 的所有管理功能
• 创建和管理服务请求
• 监视服务运行状况
报表读取者 为需要执行以下操作的用户分配支持管理员角色:
• 在Microsoft 365 管理中心中查看使用情况数据和活动报告
• 获取对 Power BI 采用内容包的访问权限
• 访问 Microsoft Entra ID 中的登录报告和活动
• 查看Microsoft图形报告 API 返回的数据
搜索管理员 为需要创建和管理搜索结果内容以及定义查询设置以改进组织内搜索结果的用户分配搜索管理员角色。 搜索管理员管理Microsoft搜索配置,并可以执行搜索编辑器可以执行的所有内容管理任务。
服务支持管理员 将服务支持管理员角色作为附加角色分配给管理员或用户,他们除了要负责管理员的常规工作外,还需要做以下工作:
• 打开并管理服务请求
• 查看和共享消息中心帖子
• 监视服务运行状况
SharePoint 管理员 为需要访问和管理 SharePoint Online 管理中心的用户分配 SharePoint 管理员角色。

SharePoint 管理员还可以:
• 创建和删除网站
• 管理网站集和全局 SharePoint 设置
Teams 管理员 将 Teams 管理员角色分配给需要访问和管理 Teams 管理中心的用户。

Teams 管理员还可以:
• 管理会议
• 管理会议网桥
• 管理所有组织范围的设置,包括联合身份验证、团队升级和团队客户端设置
用户管理员 为需要对所有用户执行以下操作的用户分配用户管理员角色:
• 添加用户和组
• 分配许可证
• 管理大多数用户属性
• 创建和管理用户视图
• 更新密码过期策略
• 管理服务请求
• 监视服务运行状况

用户管理员还可以对非管理员和分配有以下角色的用户执行以下操作:目录读取者、来宾邀请者、支持管理员、消息中心读取者和报表阅读人员:
• 管理用户名
• 删除和还原用户
• 重置密码
• 强制用户注销
• 更新 (FIDO) 设备密钥
用户体验成功管理器 将用户体验成功经理角色分配给需要访问 Microsoft 365 管理中心 中的 Experience Insights、采用分数和消息中心的用户。 此角色包括使用情况摘要报告读取者角色的权限。

基于 M365 管理员 页中管理员角色和组类型的权限

管理员角色 M365 组 Security Groups 动态通讯组 启用邮件的安全组
全局管理员 创建、读取、更新、删除 创建、读取、更新、删除 创建、读取、更新、删除 创建、读取、更新、删除
全局读取者 读取 读取 读取 读取
用户管理员 创建、读取、更新、删除、 无法更新 EXO 属性 创建、读取、更新、删除 读取 读取
Exchange 管理员 创建、读取、更新、删除 读取、更新 - 仅其拥有的组、删除 - 仅其拥有的组 创建、读取、更新、删除 创建、读取、更新、删除
Teams 管理员 创建、读取、更新、删除、 无法更新 EXO 属性 创建、读取、更新、删除 - 仅限他们拥有的组 读取 读取
SharePoint 管理员 创建、读取、更新、删除、 无法更新 EXO 属性 创建、读取、更新、仅删除他们拥有的组 读取 读取
帐务管理员 读取 读取 读取 读取
Skype 管理员 读取 读取 读取 读取
服务管理员 读取 读取 读取 读取
组管理员 创建、读取、更新、删除、 无法更新 EXO 属性 创建、读取、更新、删除 读取 读取
AI 管理员 读取 读取 读取 读取

Microsoft 合作伙伴的委派管理

如果你正与 Microsoft 合作伙伴协作,可向其分配管理员角色。 他们又可以为你的公司(或其公司)内的用户分配管理员角色。 如果合作伙伴正在为你设置和管理联机组织,则可能需要将管理员角色分配给合作伙伴。

合作伙伴可以分配以下角色:

  • 管理员代理,其权限等同于全局管理员,但通过合作伙伴中心管理多重身份验证除外。

  • 支持人员代理,其权限等同于支持管理员。

在合作伙伴将这些角色分配给用户之前,必须先将合作伙伴作为委派管理员添加到你的帐户中。 合作伙伴必须是授权合作伙伴。 合作伙伴将向你发送一封电子邮件,询问你是否要授予其作为委派管理员的权限。有关说明,请参阅授权或删除合作伙伴关系

批量许可角色

Microsoft 365 管理中心中批量许可信息的权限由批量许可服务中心的 VL 协议管理员控制, (VLSC) ,即使对于主要使用Microsoft 365 管理中心而不是 VLSC 中的功能的 VL 角色也是如此。

  • 某些批量许可 (VL) 功能现已在 Microsoft 365 管理中心 中提供,该边栏选项卡中仅对批量许可用户可见。

  • 批量许可用户看不到其他Microsoft 365 管理中心信息或功能。

  • Microsoft 365 管理中心全局管理员在分配 VL 用户权限方面没有角色,并且无需向 VL 用户分配任何管理员权限,以便他们查看批量许可边栏选项卡。

  • 批量许可用户必须先在批量许可服务中心注册, (VLSC) ,其中管理批量许可功能的所有角色和权限。

  • 有关 Microsoft 365 管理中心 中的批量许可的详细信息,请参阅批量许可服务中心的常见问题解答联系批量许可服务团队

分配管理员角色(文章)
Microsoft 365 管理中心 (文章) 中的Microsoft Entra角色
Microsoft 365 管理中心中的活动报告(文章)
Exchange Online 管理员角色(文章)