共用方式為


關於 Microsoft 365 系統管理中心的系統管理員角色

查看 YouTube 上的 Microsoft 365 小型企業說明

Microsoft 365 或 Office 365 訂用帳戶隨附一組系統管理員角色,您可以使用 Microsoft 365 系統管理中心 指派給組織中的使用者。 每個系統管理員角色會與常見的商務功能對應,並可讓組織中的人員在系統管理中心執行特定工作的權限。

提示

如果您需要本主題中步驟的協助,請考慮與 Microsoft 小型企業專家合作。 有了 [商務小幫手],您和員工會隨著業務成長,從上線到日常使用,取得小型企業專家的全天候存取權。

注意: 何謂系統管理員?

請在我們的 YouTube 頻道 上查看此影片和其他影片。

  1. 當登入 Microsoft 365 時,請選取應用程式啟動器。 如果您看到 [系統管理員] 按鈕,表示您是系統管理員。
  2. 選取 [系統管理員] 進入 Microsoft 365 系統管理中心。
  3. 在左側瀏覽窗格中,選取 [使用者]>[作用中使用者]
  4. 選取您要指定為系統管理員的人員。使用者的詳細資料會顯示在右側對話方塊中。

開始之前

Microsoft 365 系統管理中心 可讓您管理 Microsoft Entra 角色和 Microsoft Intune 角色。 不過,這些角色是 Microsoft Entra 系統管理中心和 Intune 系統管理中心中可用角色的子集。

如需您可以在 Microsoft 365 系統管理中心 中管理之詳細 Microsoft Entra 角色描述的完整清單,請參閱 Microsoft Entra 內建角色中的系統管理員角色許可權

如需您可以在 Microsoft 365 系統管理中心 中管理之詳細 Intune 角色描述的完整清單,請參閱角色型訪問控制 (具有 Microsoft Intune 的 RBAC)

如需在 Microsoft 365 系統管理中心指派角色的詳細資訊,請參閱指派系統管理員角色

指派角色的安全性指導方針

因為系統管理員可以存取機密資料和檔案,建議您遵循這些指導方針,讓組織的資料更安全。

建議 這為什麼很重要?
擁有盡可能少的全域管理員 全域系統管理員幾乎無限制地存取貴組織的設定及其大部分數據。 建議您盡可能限制全域系統管理員的數目。 全域 管理員 可能會不小心鎖定其帳戶,並需要重設密碼。 另一個全域 管理員 或特殊許可權驗證 管理員 可以重設全域 管理員 的密碼。 因此,建議您在 全域管理員 遭到鎖定時,至少要有特殊許可權驗證系統管理員。
指派最嚴謹角色 指派最嚴謹角色表示,僅提供系統管理員完成工作所需的存取權。 例如,如果您想要有人重設員工密碼,您不應該指派無限制的全域系統管理員角色,您應該指派有限的系統管理員角色,例如密碼管理員或技術服務人員系統管理員。
要求系統管理員使用多重要素驗證 要求所有使用者使用 MFA 實際上是個好想法,但一定要要求系統管理員使用 MFA 登入。 MFA 可讓使用者使用第二種識別方法來驗證其身分識別。 系統管理員可以存取大部分的客戶和員工數據。 如果您需要 MFA,即使系統管理員的密碼遭到入侵,如果沒有第二個識別方法,密碼也是無用的。

當您開啟 MFA 時,使用者下次登入時,必須提供用於帳戶復原用途的備用電子郵件地址和電話號碼。
設定多重要素驗證

如果您在系統管理中心收到一則訊息,指出您沒有編輯設定或頁面的許可權,這是因為您獲指派了沒有該許可權的角色。 請與另一位系統管理員連絡以指派正確的許可權,或參閱 指派系統管理員角色 以指派正確的角色。

常用的 Microsoft 365 系統管理中心角色

在 Microsoft 365 系統管理中心中,您可以移至 [角色指派],然後選取任何角色來開啟其詳細資料窗格。 選取 [權限] 索引標籤,以檢視系統管理員指派該角色具備權限之工作的詳細清單。 選取 [已指派] 或 [指派的系統管理員] 索引標籤來將使用者新增至角色。

您可能只需要在組織中指派下列角色。 根據預設,我們會先顯示大部分組織使用的角色。 如果您找不到某個角色,請移至清單底部,然後選取 [依類別顯示全部]。 如需詳細資訊,包括與角色相關聯的 Cmdlet,請參閱 Microsoft Entra 內建角色

系統管理員角色 誰應獲指派此角色?
AI 系統管理員 將 AI 系統管理員角色指派給需要執行下列工作的使用者:
• 管理 Microsoft 365 Copilot 的所有層面
• 從 Microsoft 365 系統管理中心 中的整合式應用程式頁面管理 AI 相關企業服務、擴充性和 copilot 代理程式
• 核准和發佈企業營運代理程式
• 如果應用程式不需要許可權,允許使用者安裝應用程式或為組織中的使用者安裝應用程式
• 讀取和設定 Azure 和 Microsoft 365 服務健康情況儀錶板
• 檢視使用量報告、採用見解和組織深入解析
• 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證
計費系統管理員 將計費系統管理員角色指派給進行購買、管理訂閱和服務要求,以及監視服務健康情況的使用者。 計費系統管理員無法指派授權;如果計費系統管理員也是授權或用戶系統管理員,請造訪 授權 以指派授權。

計費系統管理員也可以:
• 管理計費的所有層面
• 在 Azure 入口網站 中建立和管理支援票證

Exchange 系統管理員 將 Exchange 系統管理員角色指派給需要檢視和管理您使用者的電子郵件信箱、Microsoft 365 群組和 Exchange Online 的使用者。

Exchange 系統管理員也可以:
• 復原使用者信箱中已刪除的專案
• 設定「傳送身分」和「代表傳送」委派
網狀架構系統管理員 將 Fabric 系統管理員角色指派給需要執行下列動作的使用者:
• 管理 Microsoft Fabric 和 Power BI 的所有系統管理功能
• 使用量和效能的報告
• 檢閱和管理稽核
全域系統管理員 提供太多使用者的全域存取權是一項安全性風險,建議您盡可能少一些全域系統管理員。

只有全域系統管理員可以:
• 重設所有用戶的密碼
• 新增和管理網域
• 解除封鎖另一個全域管理員

注意:註冊Microsoft 線上服務 的人員會自動成為全域系統管理員。此外,只有全域管理員可以檢視和管理透過合作夥伴購買的訂用帳戶。
全域讀取者 將全域讀取者角色指派給需要檢視系統管理中心中的全域系統管理員可檢視的系統管理功能和設定的使用者。 全域讀取者系統管理員無法編輯任何設定。
群組系統管理員 將群組管理員角色指派給需要跨系統管理中心管理所有群組設定的使用者,包括 Microsoft 365 系統管理中心和 Microsoft Entra 系統管理中心。

群組系統管理員可以:
• 建立、編輯、刪除和還原Microsoft 365 個群組
• 建立和更新群組建立、到期和命名原則
• 建立、編輯、刪除和還原 Microsoft Entra 安全組
服務台系統管理員 將服務台系統管理員角色指派給需要執行下列動作的使用者:
• 重設密碼
• 強制使用者註銷
• 管理服務要求
• 監視服務健康情況

附註:服務台系統管理員只能協助非系統管理員使用者和獲指派下列角色的使用者:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者和報告讀取者。
授權系統管理員 將授權系統管理員角色指派給需要指派和移除使用者授權,以及編輯其使用位置的使用者。

授權系統管理員也可以:
• 重新處理群組型授權的授權指派
• 將產品授權指派給群組以進行群組型授權
訊息中心隱私權讀取者 將訊息中心隱私權讀取者角色指派給需要在 Microsoft 365 訊息中心讀取隱私權、安全性訊息和更新的使用者。 訊息中心隱私權讀取者可能會根據其喜好設定,收到與資料隱私權相關的電子郵件通知,並且可以使用訊息中心喜好設定來取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此角色沒有檢視、建立或管理服務要求的權限。

訊息中心隱私權讀取者也可以:
• 監視訊息中心內的所有通知,包括數據隱私權訊息
• 檢視群組、網域和訂用帳戶
訊息中心讀取者 將訊息中心讀取者角色指派給需要執行下列動作的使用者:
• 監視訊息中心通知
• 取得訊息中心文章和更新的每周電子郵件摘要
• 共用訊息中心文章
• 具有使用者和群組等 Microsoft Entra 服務的唯讀存取權
移轉系統管理員 將Microsoft 365 移轉系統管理員角色指派給需要執行下列工作的使用者:
• 使用 Microsoft 365 系統管理中心 中的移轉管理員,從Google雲端硬碟、Dropbox和Box等各種來源管理移轉至 Microsoft 365 的內容,包括Teams、商務用 OneDrive和 SharePoint 網站。
• 選取移轉來源、建立移轉清查 (例如 Google Drive 使用者清單) 、排程和執行移轉,以及下載報告。
• 如果目的地網站不存在,請建立新的 SharePoint 網站、在 SharePoint 系統管理員網站下建立 SharePoint 清單,以及在 SharePoint 列表中建立和更新專案。
• 管理工作的移轉項目設定和移轉生命週期,以及管理從來源到目的地的許可權對應。

注意: 使用此角色,您只能從Google雲端硬碟、Box、Dropbox和 Egnyte 移轉。 此角色不允許您從 SharePoint 系統管理中心的檔案共用來源進行移轉。 使用 SharePoint 系統管理員從檔案共用來源移轉。
Office應用程式系統管理員 將 Office 應用程式系統管理員角色指派給需要執行下列動作的使用者:
• 使用適用於 Microsoft 365 的雲端原則服務來建立和管理雲端式原則。
• 建立和管理服務要求
• 管理使用者在 Microsoft 365 應用程式中看到的新功能內容
• 監視服務健康情況
組織訊息作者 將組織訊息寫入者角色指派給需要透過Microsoft產品介面來撰寫、發佈、管理及檢閱使用者的組織訊息的使用者。
組織訊息核准者 將組織訊息核准者角色指派給需要檢閱、核准或拒絕新組織訊息以在 Microsoft 365 系統管理中心 中傳遞的使用者,再透過Microsoft產品介面傳送給使用者。
密碼系統管理員 將密碼系統管理員角色指派給需要重設非系統管理員和密碼系統管理員密碼的使用者。
Power 平台系統管理員 將 Power 平台系統管理員角色指派給需要執行下列動作的使用者:
• 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 和 Microsoft Purview 資料外洩防護 的所有系統管理功能
• 建立和管理服務要求
• 監視服務健康情況
報告讀取者 將報告讀取者角色指派給需要執行下列動作的使用者:
• 檢視 Microsoft 365 系統管理中心 中的使用量數據和活動報告
• 取得 Power BI 採用內容套件的存取權
• 在 Microsoft Entra ID 中取得登入報告和活動的存取權
• 檢視 Microsoft Graph 報告 API 傳回的數據
搜尋系統管理員 將搜尋系統管理員角色指派給需要建立和管理搜尋結果內容的使用者,並定義查詢設定,以改善組織內的搜尋結果。 搜尋系統管理員會管理Microsoft搜尋組態,並可執行搜尋編輯器可以執行的所有內容管理工作。
服務支援系統管理員 將服務支援系統管理員角色以額外角色的形式,指派給在其日常系統管理員角色之外需要執行下列動作的管理員或使用者:
• 開啟和管理服務要求
• 檢視和共用訊息中心文章
• 監視服務健康情況
SharePoint 系統管理員 將 SharePoint 系統管理員角色指派給需要存取和管理 SharePoint Online 系統管理中心的使用者。

SharePoint 系統管理員也可以:
• 建立和刪除網站
• 管理網站集合和全域 SharePoint 設定
Teams 系統管理員 將 Teams 系統管理員角色指派給需要存取和管理 Teams 系統管理中心的使用者。

Teams 系統管理員也可以:
• 管理會議
• 管理會議網橋
• 管理所有全組織設定,包括同盟、小組升級和小組客戶端設定
使用者系統管理員 將使用者系統管理員角色指派給需要為所有使用者執行下列動作的使用者:
• 新增使用者和群組
• 指派授權
• 管理大部分的用戶屬性
• 建立和管理用戶檢視
• 更新密碼到期原則
• 管理服務要求
• 監視服務健康情況

使用者系統管理員也可以針對非系統管理員和獲指派下列角色的使用者執行下列動作:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者、報告讀取者:
• 管理使用者名稱
• 刪除和還原使用者
• 重設密碼
• 強制使用者註銷
• 更新 (FIDO) 裝置金鑰
使用者體驗成功主管 將用戶體驗成功管理員角色指派給需要存取體驗深入解析、採用分數,以及 Microsoft 365 系統管理中心 中訊息中心的使用者。 此角色包含使用量摘要報表讀者角色的許可權。

M365 管理員 頁面中以 管理員 角色和群組類型為基礎的許可權

管理員 角色 M365 群組 Security Groups 動態通訊群組 啟用郵件的安全性 群組
全域系統管理員 建立、讀取、更新、刪除 建立、讀取、更新、刪除 建立、讀取、更新、刪除 建立、讀取、更新、刪除
全域讀取者 讀取 讀取 讀取 讀取
使用者系統管理員 建立、讀取、更新、刪除、 無法更新EXO屬性 建立、讀取、更新、刪除 讀取 讀取
Exchange 系統管理員 建立、讀取、更新、刪除 讀取、更新 - 只有他們擁有的群組、刪除 - 只有他們擁有的群組 建立、讀取、更新、刪除 建立、讀取、更新、刪除
Teams 系統管理員 建立、讀取、更新、刪除、 無法更新EXO屬性 建立、讀取、更新、刪除 - 僅限他們擁有的群組 讀取 讀取
SharePoint 系統管理員 建立、讀取、更新、刪除、 無法更新EXO屬性 建立、讀取、更新、刪除他們所擁有的僅限群組 讀取 讀取
計費系統管理員 讀取 讀取 讀取 讀取
Skype 系統管理員 讀取 讀取 讀取 讀取
服務系統管理員 讀取 讀取 讀取 讀取
群組系統管理員 建立、讀取、更新、刪除、 無法更新EXO屬性 建立、讀取、更新、刪除 讀取 讀取
AI 系統管理員 讀取 讀取 讀取 讀取

Microsoft 合作夥伴的委派系統管理

如果您正與 Microsoft 合作夥伴合作,您可以指派系統管理員角色給他們。 他們也可以反過來指派系統管理員角色給您公司 (或他們公司) 中的使用者。 如果您要為您設定和管理您的在線組織,您可以將系統管理員角色指派給合作夥伴。

合作夥伴可以指派以下角色:

  • 系統管理代理程式:擁有等同於全域系統管理員的權限,但透過合作夥伴中心管理多重要素驗證除外。

  • 服務台代理人:等同於服務台系統管理員的權限。

在合作夥伴可以將這些角色指派給使用者之前,您必須先將該合作夥伴新增為您帳戶的委派系統管理員。 合作夥伴必須是授權的合作夥伴。 合作夥伴會傳送電子郵件給您,詢問您是否想要授與其權限,以做為委派的系統管理員。如需指示,請參閱授權或移除合作夥伴關係

大量授權角色

Microsoft 365 系統管理中心 中大量授權信息的許可權是由大量授權服務中心 (VLSC) 中的 VL 合約管理員所控制,即使是主要使用 Microsoft 365 系統管理中心 功能而非 VLSC 的 VL 角色也是如此。

  • 某些大量授權 (VL) 功能現在可在 Microsoft 365 系統管理中心 中取得,而新的大量授權刀鋒視窗只對大量授權用戶可見。

  • 大量授權使用者看不到其他 Microsoft 365 系統管理中心 資訊或功能。

  • Microsoft 365 系統管理中心 全域管理員在指派 VL 用戶權力時沒有角色,而且不需要將任何系統管理員許可權指派給 VL 使用者,即可查看大量授權刀鋒視窗。

  • 大量授權用戶必須先在大量授權服務中心註冊, (VLSC) ,其中會管理大量授權功能的所有角色和許可權。

  • 如需大量授權 Microsoft 365 系統管理中心的詳細資訊,請參閱大量授權服務中心的常見問題,或連絡大量授權服務小組

指派系統管理員角色 (文章)
Microsoft 365 系統管理中心 (文章中的 Microsoft Entra 角色)
Microsoft 365 系統管理中心的活動報告 (文章)
Exchange Online 系統管理員角色 (文章)