Exchange Online 中的權限
Microsoft Entra ID 中的全域角色可讓您管理所有Microsoft 365 中功能的許可權和存取權,其中也包含 Exchange Online。 如需詳細資訊,請參閱 Microsoft Entra許可權。
但是,如果您需要將許可權和功能限制在 Exchange Online 中的功能,您可以在 Exchange 系統管理中心 (EAC ) 和 Exchange Online PowerShell 中指派 Exchange Online 許可權。
若要在EAC中管理 Exchange Online 許可權,請移至 [角色>管理員 角色],或直接移至位於 的 [管理員 角色] 頁面https://admin.exchange.microsoft.com/#/adminRoles。
您必須是 Exchange Online 中組織管理角色群組的成員。 具體而言,Exchange Online 中的角色管理角色可讓用戶檢視、建立和修改 Exchange Online 角色群組。 根據預設,該角色只會指派給 組織管理 角色群組。
Exchange Online 根據角色型 存取控制 (RBAC) 許可權模型,包含一組大型的預先定義許可權,您可以立即使用此模型,輕鬆地將許可權授與您的系統管理員和使用者。 您可以使用 Exchange Online 中的許可權功能,讓新組織快速啟動並執行。
提示
在 Exchange Online 中管理許可權可讓使用者存取 EAC 和 Exchange Online PowerShell 中的功能。 若要將許可權授與其他功能,例如 Microsoft Purview 合規性入口網站 中的合規性功能,或 Microsoft Defender 入口網站中的安全性功能,請參閱下列文章:
本文不會討論數個進階的 RBAC 功能和概念。 如果本文中所述的功能不符合您的需求,而且您想要進一步自定義許可權模型,請參閱瞭解角色型 存取控制。
角色型權限
Exchange Online 許可權是以角色型訪問控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分Microsoft 365 服務和 Exchange Server 所使用的相同許可權模型,因此如果您熟悉這些服務中的許可權結構,則應該熟悉在 Exchange Online 中授與許可權。
角色或管理角色會授與執行一組工作的許可權。 Exchange Online 許可權使用下列類型的角色:
- 系統管理員角色:定義系統管理員可以執行的工作集。 當系統管理員角色指派給 角色群組,且系統管理員或使用者是該角色群組的成員時,該人員會被授與角色所提供的許可權。 本文列出並描述這些角色。
-
使用者角色:這些角色是使用 角色指派原則來指派,可讓使用者管理自己的信箱和他們擁有之通訊群組的各個層面。 使用者角色的開頭為 前置詞
My
。 如需詳細資訊,請參閱本文稍後的 章節。 - 應用程式角色:以 'Application' 開頭或結尾的這些角色名稱是 Exchange Online 中 RBAC for Applications 的一部分。 如需詳細資訊,請參閱 Exchange Online 中應用程式的角色型 存取控制。
角色會讓 Exchange Online Cmdlet 可供使用者使用,以授與使用者執行工作的許可權。 由於 EAC 和 Exchange Online PowerShell 會使用 Cmdlet 來管理 Exchange Online,因此授與 Cmdlet 的存取權,會提供系統管理員或使用者在任一 Exchange Online 管理介面中執行工作的許可權。
角色群組可讓您更輕鬆地將角色指派給系統管理員。 將角色指派至角色群組後,此角色群組的所有成員便會獲得由該角色所授與的權限。 Exchange Online 許可權包含您需要指派之最常見工作和函式的預設角色群組。 您也可以建立自定義角色群組。 建議您將個別使用者新增為預設角色群組或自定義角色群組 的成員 ,而不是直接將角色指派給使用者。 角色群組成員可以是 Exchange Online 使用者和其他角色群組。
將使用者新增至 Exchange Online 角色群組會將系統管理許可權授與 Exchange Online 中的使用者,而不需要將他們新增至 Microsoft Entra 角色。 使用者只有在沒有其他Microsoft 365 功能或工作負載的許可權的情況下,才會在 Exchange Online 中收到角色群組所授與的許可權。
本文的其餘部分將說明 Exchange Online 中的系統管理員角色和角色群組。
提示
角色指派原則是一種角色群組,用來將使用者角色指派給使用者。 如需詳細資訊,請參閱 Exchange Online 中的角色指派原則。
Exchange Online 中的角色群組
本節中的表格列出 Exchange Online 中可用的默認系統管理員角色群組,以及預設指派給角色群組的角色。 若要將許可權授與使用者以在 Exchange Online 中執行工作,請將這些許可權新增至適當的角色群組。
如果您在只有少數系統管理員的小型組織中工作,您可能只需要將這些系統管理員新增至組織管理角色群組,而且您可能永遠不需要使用其他角色群組。 如果您在較大的組織中工作,您可能會有系統管理員執行管理 Exchange Online 的特定工作,例如收件者設定。 在這些情況下,您可以將一個系統管理員新增至收件者管理角色群組,並將另一個系統管理員新增至組織管理角色群組。 這些系統管理員接著可以管理其特定的 Exchange Online 區域,但他們沒有許可權可管理其不負責的區域。
如果 Exchange Online 中的內建角色群組不符合系統管理員的作業功能,您可以建立角色群組並將角色新增至其中。 如需詳細資訊,請參閱管理 Exchange Online 中的角色群組。
提示
除非另有說明,否則獨立 Exchange Online Protection 中會使用相同的角色群組和角色指派。
角色群組 | 描述 | 已指派預設角色 |
---|---|---|
通訊合規性 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 通訊合規性系統管理員 通訊合規性調查 |
通訊合規性系統管理員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 通訊合規性系統管理員 |
合規性系統管理員 | 管理裝置管理、數據外洩防護、報告和保留的設定。 | 通訊合規性系統管理員 測試人員風險管理系統管理員 |
合規性管理 | 成員可以根據其原則,在 Exchange 內設定及管理合規性設定。 | 稽核記錄 合規性 管理員 資料外洩防護 資訊版權管理 日誌 郵件追蹤 保留管理 傳輸規則 僅限檢視稽核記錄 僅限檢視組態 僅限檢視收件者 |
探索管理 | 成員可以在 Exchange Online 組織中執行信箱搜尋,以尋找符合特定準則的數據,也可以在信箱上設定合法保留。 | 合法持有 信箱搜尋 |
ExchangeServiceAdmins_唯<一值>¹ | 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在 Exchange Online 中管理此角色群組。 此角色群組沒有任何指派的角色。 不過,它是組織管理角色群組的成員, (為 Exchange 服務管理員) ,並繼承該角色群組所提供的許可權。 您可以將使用者新增至 Microsoft 365 系統管理中心 中的 Microsoft Entra ID Exchange 系統管理員角色,以將成員新增至此角色群組。 |
不適用 |
技術支援 | 成員可以檢視和管理個別收件者的設定,以及檢視 Exchange 組織中的收件者。 此角色群組的成員只能管理每個用戶可以在自己的信箱上管理的設定。 | 重設密碼 用戶選項 僅限檢視收件者 |
檢疫管理 | 成員可以管理 Exchange 反垃圾郵件功能、授與與 Exchange 整合之防病毒軟體產品的許可權,以及管理郵件流程規則。 | 傳輸檢查 僅限檢視組態 僅限檢視收件者 |
資訊保護 | 完全控制所有信息保護功能,包括敏感度標籤及其原則、DLP、所有分類器類型、活動和內容總管,以及所有相關報告。 | 資訊保護系統管理員 資訊保護 分析師² 資訊保護調查人員 資訊保護讀者 |
資訊保護系統管理員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 資訊保護系統管理員 |
資訊保護分析員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的 Search-UnifiedAuditLog Cmdlet。 | 資訊保護 分析師² |
資訊保護調查人員 | 搜尋整合稽核記錄 | 資訊保護調查人員 |
資訊保護讀者 | 搜尋統一的稽核記錄,並檢視郵件流量和郵件流量摘要報告。 | 資訊保護讀者 |
測試人員風險管理 | 管理測試人員風險管理的訪問控制。 | 測試人員風險管理系統管理員 測試人員風險管理調查 |
測試人員風險管理管理員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 測試人員風險管理系統管理員 |
測試人員風險管理調查員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 測試人員風險管理調查 |
組織管理 | 成員具有整個 Exchange Online 組織的系統管理存取權,而且幾乎可以在 Exchange Online 中執行任何工作。 重要:因為組織管理角色群組是一個強大的角色,所以只有執行組織層級系統管理工作的使用者,可能會影響整個 Exchange Online 組織,才是此角色群組的成員。 |
稽核記錄 通訊合規性系統管理員 通訊合規性調查 合規性 管理員 資料外洩防護 動態通訊群組 電子郵件地址原則 同盟共用 資訊保護系統管理員 資訊保護 分析師² 資訊保護調查人員 資訊保護讀者 資訊版權管理 測試人員風險管理系統管理員 測試人員風險管理調查 日誌 合法持有 啟用郵件的公用資料夾 建立郵件收件者 郵件收件者 郵件提示 郵件追蹤 移轉 移動信箱 組織自訂應用程式 組織市集應用程式 組織用戶端存取 組織組態 組織傳輸設定 隱私權管理 管理員 隱私權管理調查 公用資料夾 收件者原則 遠端和已接受的網域 重設密碼 保留管理 角色管理 安全性系統管理員 安全組建立和成員資格 安全性讀取者 TenantPlacesManagement 傳輸檢查 傳輸規則 用戶選項 僅限檢視稽核記錄 僅限檢視組態 僅限檢視收件者 |
隱私權管理 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 隱私權管理 管理員 隱私權管理調查 |
隱私權管理系統管理員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 隱私權管理 管理員 |
隱私權管理調查人員 | 此角色群組中的角色指派可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 隱私權管理調查 |
收件者管理 | 成員具有系統管理存取權,可在 Exchange Online 組織內建立或修改 Exchange Online 收件者。 | 動態通訊群組 建立郵件收件者 郵件收件者 郵件追蹤 移轉 移動信箱 收件者原則 重設密碼 |
記錄管理 | 成員可以設定合規性功能,例如保留原則標籤、郵件分類和郵件流程規則, (也稱為傳輸規則) 。 | 稽核記錄 日誌 郵件追蹤 保留管理 傳輸規則 |
}-MAILboxAdmins<GUID> | 未使用 | ApplicationImpersonation |
安全性系統管理員 | 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在 Exchange Online 中管理此角色群組。 您可以將使用者新增至 Microsoft 365 系統管理中心 中 Microsoft Entra 安全性系統管理員角色,以將成員新增至此角色群組。 |
安全性系統管理員 SensitivityLabelAdministrator |
安全性操作員 | 管理安全性警示,以及檢視安全性功能的報告和設定。 | 租使用者 AllowBlockList Manager |
安全性讀取者 | 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在 Exchange Online 中管理此角色群組。 您可以將使用者新增至 Microsoft 365 系統管理中心 中 Microsoft Entra 安全性讀取者角色,以將成員新增至此角色群組。 |
安全性讀取者 |
TenantAdmins_唯<一值> | 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在 Exchange Online 中管理此角色群組。 此角色群組沒有任何指派的角色。 不過,它是組織管理角色群組的成員, (為公司系統管理員) ,並繼承該角色群組所提供的許可權。 您可以將使用者新增至 Microsoft 365 系統管理中心 中 Microsoft Entra ID 全域管理員角色,以將成員新增至此角色群組。 重要事項:Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。 |
不適用 |
僅限檢視組織管理 | 成員可以檢視 Exchange Online 組織中任何對象的屬性。 | 僅限檢視組態 僅限檢視收件者 |
¹ 獨立 Exchange Online Protection 中無法使用此角色群組。
² 根據預設,此角色不會指派獨立 Exchange Online Protection 中的任何角色群組。
Exchange Online 中的角色
本節中的表格列出可用的系統管理員角色,以及預設指派給這些角色群組的角色群組。
默認 未 指派給組織管理角色群組的角色會標示為 *
提示
- 以 『My』 前置詞開頭的角色名稱 (例如,MyContactInformation) 是使用者角色。 使用者角色會指派給角色指派原則中的使用者,這可讓使用者在其擁有的物件上操作 (例如,他們自己的帳戶或他們建立的通訊群組) 。 如需詳細資訊,請參閱 Exchange Online 中的角色指派原則。
- 以 『Application』 開頭或結尾的角色名稱是 Exchange Online 中 RBAC for Applications 的一部分。 如需詳細資訊,請參閱 Exchange Online 中應用程式的角色型 存取控制。
- Microsoft Purview 合規性與 Microsoft Entra 中也提供許多合規性相關角色,本身在 Exchange Online 方面並沒有提供太多功能。
- 除非另有說明,否則獨立 Exchange Online Protection 中會使用相同的角色和角色群組指派。
角色 | 描述 | 預設角色群組指派 |
---|---|---|
位址 清單* | 可讓系統管理員管理組織中的通訊清單、全域通訊清單和離線通訊清單。 | 無 |
稽核記錄 | 搜尋系統管理員稽核記錄並檢視結果。 | 合規性管理 組織管理 記錄管理 |
通訊合規性系統管理員 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 通訊合規性 通訊合規性系統管理員 合規性系統管理員 組織管理 |
通訊合規性調查 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 通訊合規性 組織管理 |
合規性 管理員 | 可讓用戶檢視和編輯合規性功能的設定和報告。 | 合規性管理 組織管理 |
資料外洩防護 | 此角色與組織中較舊的郵件流程規則 (傳輸規則) 相關的數據外泄防護 (DLP) 設定有關。 此角色可讓您存取 Exchange Online 中的報表和郵件流程規則管理。 | 合規性管理 組織管理 |
動態通訊群組 | 建立和管理所有通訊群組、擁有郵件功能的安全組和成員。 | 組織管理 收件者管理 |
電子郵件地址原則 | 可讓系統管理員管理組織中的電子郵件地址原則。 | 組織管理 |
同盟共用 | 可讓系統管理員管理組織中的跨樹系和跨組織共用。 | 組織管理 |
資訊保護系統管理員 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 資訊保護 資訊保護系統管理員 組織管理 |
資訊保護分析員 | 此角色可讓您存取 Exchange Online 中的 Search-UnifiedAuditLog Cmdlet。 | 資訊保護 資訊保護 分析師¹ 組織管理 |
資訊保護調查人員 | 搜尋統一稽核記錄。 | 資訊保護 資訊保護調查人員 組織管理 |
資訊保護讀者 | 搜尋統一的稽核記錄,並檢視郵件流量和郵件流量摘要報告。 | 資訊保護 資訊保護讀者 組織管理 |
資訊版權管理 | 在組織中管理信息版權管理 (IRM) Exchange 功能。 | 合規性管理 組織管理 |
測試人員風險管理系統管理員 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 合規性系統管理員 測試人員風險管理 測試人員風險管理管理員 組織管理 |
測試人員風險管理調查 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 測試人員風險管理 測試人員風險管理調查員 組織管理 |
日誌 | 可讓系統管理員管理組織中的日誌設定。 | 合規性管理 組織管理 記錄管理 |
合法持有 | 可讓系統管理員設定是否應保留信箱內的數據,以便在組織中進行訴訟。 | 探索管理 組織管理 |
啟用郵件的公用資料夾 | 可讓系統管理員設定組織中的個別公用資料夾是否啟用郵件或郵件停用。 | 組織管理 |
建立郵件收件者 | 建立和移除郵件用戶和郵件聯繫人。 | 組織管理 收件者管理 |
郵件收件者 | 修改現有的郵件使用者和郵件聯繫人。 | 組織管理 收件者管理 |
郵件提示 | 可讓系統管理員管理組織中的MailTip設定。 | 組織管理 |
信箱匯入匯出* | 可讓系統管理員匯入和匯出信箱內容。 | 無 |
信箱搜尋* | 可讓系統管理員搜尋組織中一或多個信箱的內容。 | 探索管理 |
郵件追蹤 | 可讓系統管理員追蹤組織中的訊息。 | 合規性管理 組織管理 收件者管理 記錄管理 |
移轉 | 可讓系統管理員將信箱和信箱內容移入或移出組織。 | 組織管理 收件者管理 |
移動信箱 | 可讓系統管理員移動信箱。 | 組織管理 收件者管理 |
O365SupportViewConfig* | 未使用 | 無 |
組織自訂應用程式 | 可讓用戶檢視和修改其組織自定義應用程式。 | 組織管理 |
組織市集應用程式 | 可讓用戶檢視和修改其組織市集應用程式。 | 組織管理 |
組織用戶端存取 | 可讓系統管理員管理組織中的用戶端存取設定。 | 組織管理 |
組織組態 | 可讓系統管理員管理整個組織的設定。 | 組織管理 |
組織傳輸設定 | 可讓系統管理員管理混合式和整個組織的郵件傳輸設定。 | 組織管理 |
隱私權管理 管理員 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 組織管理 隱私權管理 隱私權管理系統管理員 |
隱私權管理調查 | 此角色可讓您存取 Exchange Online 中的Test-TextExtraction Cmdlet。 | 組織管理 隱私權管理 隱私權管理調查人員 |
公用資料夾 | 可讓系統管理員管理組織中的公用資料夾。 | 組織管理 |
收件者原則 | 可讓系統管理員管理收件者原則 (驗證原則、數據加密原則行動裝置信箱原則,以及) 組織中 Outlook 網頁版 信箱原則。 | 組織管理 收件者管理 |
遠端和已接受的網域 | 管理遠端網域、接受的網域和連接器。 | 組織管理 |
重設密碼 | 可讓系統管理員設定會議室信箱密碼。 | 技術支援 組織管理 收件者管理 |
保留管理 | 可讓人員管理保留原則。 | 合規性管理 組織管理 記錄管理 |
角色管理 | 可讓系統管理員管理組織中的管理角色群組、角色指派原則、管理角色、角色專案、指派和範圍。 | 組織管理 |
安全性系統管理員 | 管理所有安全性和保護功能的設定和報告。 | 組織管理 安全性系統管理員 |
安全組建立和成員資格 | 建立和管理擁有郵件功能的安全組。 | 組織管理 |
安全性讀取者 | 檢視安全性和保護功能的設定和報告。 | 組織管理 安全性讀取者 |
SensitivityLabelAdministrator* | 可讓用戶編輯敏感度標籤屬性。 | 安全性系統管理員 |
租使用者 AllowBlockList Manager* | 可讓使用者管理租使用者允許/封鎖清單。 | 安全性操作員 |
TenantPlacesManagement | 可讓使用者管理 Microsoft Places 的設定。 | 組織管理 |
傳輸檢查 | 管理反惡意代碼、反垃圾郵件功能和反詐騙功能。 | 檢疫管理 組織管理 |
傳輸規則 | 建立和管理郵件流程規則 (也稱為傳輸規則) 。 | 合規性管理 組織管理 記錄管理 |
用戶選項 | 可讓系統管理員檢視組織中使用者的 Outlook 網頁版 選項。 | 技術支援 組織管理 |
僅限檢視稽核記錄 | 搜尋系統管理員稽核記錄並檢視結果。 | 合規性管理 組織管理 |
僅限檢視組態 | 檢視組織中所有組織和郵件流程 (非收件者) 設定。 | 合規性管理 檢疫管理 組織管理 僅限檢視組織管理 |
僅限檢視收件者 | 檢視收件者屬性並執行訊息追蹤。 | 合規性管理 技術支援 檢疫管理 組織管理 僅限檢視組織管理 |
¹ 根據預設,此角色不會指派給獨立 Exchange Online Protection 中的任何角色群組。
Exchange Online 中的 Microsoft 365 權限
當您在 Microsoft 365 系統管理中心 中建立使用者時,可以選擇是否要將各種 Microsoft Entra 角色 (例如 Exchange 系統管理員或全域讀取者) 指派給使用者。 大部分的 Microsoft Entra 角色會將系統管理許可權授與 Exchange Online 中的使用者。
注意事項
您用來建立 Exchange Online 組織的帳戶會自動指派給全域管理員角色。
下表列出 Microsoft Entra 角色及其對應的 Exchange Online 角色群組。 如需這些角色的詳細資訊,請參閱 Microsoft Entra 許可權。
Microsoft Entra 角色 | Exchange Online 角色群組 |
---|---|
全域系統管理員 | 組織管理 注意:全域管理員角色和組織管理角色群組會使用特殊的公司系統管理員角色群組系結在一起。 公司系統管理員角色群組是在內部管理,無法直接修改。 |
Exchange 系統管理員 | 組織管理 |
全域讀取者 | 僅限檢視組織管理 |
服務台系統管理員 | 技術支援 |
服務支援系統管理員 | 無 |
Sharepoint 系統管理員 | 無 |
Teams 系統管理員 | 無 |
Exchange 收件者系統管理員 | 收件者管理 |
使用者體驗成功主管 | 無 |
您可以在 Exchange Online 中授與用戶系統管理許可權,而不需要將使用者新增到 Microsoft Entra 角色,方法是將使用者新增為 Exchange Online 角色群組的成員。 使用者在 Exchange Online 中取得許可權,但無法在其他Microsoft 365 工作負載中取得許可權。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。