關於系統管理員角色About admin roles

Microsoft 365 或 Office 365 訂閱隨附一組系統管理員角色,您可以使用 [Microsoft 365 系統管理中心] 將這些角色指派給組織中的使用者。Microsoft 365 or Office 365 subscription comes with a set of admin roles that you can assign to users in your organization using the Microsoft 365 admin center. 每個系統管理員角色會與常見的商務功能對應,並可讓組織中的人員在系統管理中心執行特定工作的權限。Each admin role maps to common business functions and gives people in your organization permissions to do specific tasks in the admin centers.

Microsoft 365 系統管理中心可讓您管理 Azure AD 角色和 Microsoft Intune 角色。The Microsoft 365 admin center lets you manage Azure AD roles and Microsoft Intune roles. 不過,這些角色是 Azure AD 入口網站和 Intune 系統管理中心中可用角色的子集。However, these roles are a subset of the roles available in the Azure AD portal and the Intune admin center.

開始之前Before you begin

正在尋找您可以在 Microsoft 365 系統管理中心管理的詳細 Azure AD 角色描述的完整清單嗎?Looking for the full list of detailed Azure AD role descriptions you can manage in the Microsoft 365 admin center? 查看 Azure Active Directory 中的系統管理員角色權限。Check out Administrator role permissions in Azure Active Directory. Azure Active Directory 中的系統管理員角色權限Administrator role permissions in Azure Active Directory.

正在尋找您可以在 Microsoft 365 系統管理中心管理的詳細 Intune 角色描述的完整清單嗎?Looking for the full list of detailed Intune role descriptions you can manage in the Microsoft 365 admin center? 請參閱 使用 Microsoft Intune 的角色型存取控制 (RBAC)Check out Role-based access control (RBAC) with Microsoft Intune.

如需在 Microsoft 365 系統管理中心指派角色的詳細資訊,請參閱指派系統管理員角色For more information on assigning roles in the Microsoft 365 admin center, see Assign admin roles.

注意: 何謂系統管理員?Watch: What is an admin?

指派角色的安全性指導方針Security guidelines for assigning roles

因為系統管理員可以存取機密資料和檔案,建議您遵循這些指導方針,讓組織的資料更安全。Because admins have access to sensitive data and files, we recommend that you follow these guidelines to keep your organization's data more secure.

建議Recommendation 這為什麼很重要?Why is this important?
有 2 到 4 個全域系統管理員Have 2 to 4 global admins 由於只有另一個全域系統管理員可以重設全域系統管理員的密碼,建議您在組織中至少有 2 個全域系統管理員,以防帳戶鎖定。Because only another global admin can reset a global admin's password, we recommend that you have at least 2 global admins in your organization in case of account lockout. 但是全域系統管理員對組織的設定和大部分的資料具有幾乎不受限制的存取,因此建議您不要擁有 4 個以上的全域系統管理員,因為這會是安全性威脅。But the global admin has almost unlimited access to your org's settings and most of the data, so we also recommend that you don't have more than 4 global admins because that's a security threat.
指派 最嚴謹 角色Assign the least permissive role 指派 最嚴謹 角色表示,僅提供系統管理員完成工作所需的存取權。Assigning the least permissive role means giving admins only the access they need to get the job done. 例如,如果您希望某人重設員工密碼,您不應指派無限制的全域系統管理員角色,而是應指派有限制的系統管理員角色,例如密碼系統管理員或服務台系統管理員。這可協助保護您的資料安全。For example, if you want someone to reset employee passwords you shouldn't assign the unlimited global admin role, you should assign a limited admin role, like Password admin or Helpdesk admin. This will help keep your data secure.
要求系統管理員使用多重要素驗證Require multi-factor authentication for admins 要求所有使用者使用 MFA 實際上是個好想法,但一定要要求系統管理員使用 MFA 登入。It's actually a good idea to require MFA for all of your users, but admins should definitely be required to use MFA to sign in. MFA 可讓使用者輸入第二個身分識別方法,以驗證他們是否為他們所聲稱的人。MFA makes users enter a second method of identification to verify they are who they say they are. 系統管理員可以存取許多客戶和員工資料,而且如果您需要進行 MFA,即使系統管理員的密碼遭到侵,密碼在沒有第二個格式身分識別格式的情況下毫無用處。Admins can have access to a lot of customer and employee data and if you require MFA, even if the admin's password gets compromised, the password is useless without the second form of identification.

當您開啟 MFA 時,使用者下次登入時,必須提供用於帳戶復原用途的備用電子郵件地址和電話號碼。When you turn on MFA, the next time the user signs in, they'll need to provide an alternate email address and phone number for account recovery.
設定多重要素驗證Set up multi-factor authentication

如果您在系統管理中心收到一則訊息,指出您沒有權限可編輯某項設定或頁面,這是因為您獲指派的角色沒有該權限。If you get a message in the admin center telling you that you don't have permissions to edit a setting or page, it's because you are assigned a role that doesn't have that permission.

常用的 Microsoft 365 系統管理中心角色Commonly used Microsoft 365 admin center roles

在 Microsoft 365 系統管理中心中,您可以移至 [角色],然後選取任何角色來開啟其詳細資料窗格。In the Microsoft 365 admin center, you can go to Roles, and then select any role to open its detail pane. 選取 [權限] 索引標籤,以檢視系統管理員指派該角色具備權限之工作的詳細清單。Select the Permissions tab to view the detailed list of what admins assigned that role have permissions to do. 選取 [已指派] 或 [指派的系統管理員] 索引標籤來將使用者新增至角色。Select the Assigned or Assigned admins tab to add users to roles.

您可能只需要在組織中指派下列角色。You'll probably only need to assign the following roles in your organization. 根據預設,我們會先顯示大部分組織使用的角色。By default, we first show roles that most organizations use. 如果您找不到某個角色,請移至清單底部,然後選取 [依類別顯示全部]。If you can't find a role, go to the bottom of the list and select Show all by Category. (如需詳細資訊,包括與角色相關聯的 Cmdlet,請參閱 Azure Active Directory 中的系統管理員角色權限。)(For detailed information, including the cmdlets associated with a role, see Administrator role permissions in Azure Active Directory.)

系統管理員角色Admin role 誰應獲指派此角色?Who should be assigned this role?
計費系統管理員Billing admin 將計費系統管理員角色指派給進行購買、管理訂閱和服務要求,以及監視服務健康情況的使用者。Assign the Billing admin role to users who make purchases, manage subscriptions and service requests, and monitor service health.

計費系統管理員也可以:Billing admins also can:
- 管理所有層面的帳單- Manage all aspects of billing
- 在 Azure 入口網站中建立和管理支援票證- Create and manage support tickets in the Azure portal
Exchange 系統管理員Exchange admin 將 Exchange 系統管理員角色指派給需要檢視和管理您使用者的電子郵件信箱、Microsoft 365 群組和 Exchange Online 的使用者。Assign the Exchange admin role to users who need to view and manage your user's email mailboxes, Microsoft 365 groups, and Exchange Online.

Exchange 系統管理員也可以:Exchange admins can also:
- 復原使用者信箱中已刪除的郵件- Recover deleted items in a user's mailbox
- 設定「傳送為」和「代表傳送」代理人- Set up "Send As" and "Send on behalf" delegates
全域系統管理員Global admin 將全域系統管理員角色指派給需要透過 Microsoft 線上服務多數管理功能和資料的全域存取權的使用者。Assign the Global admin role to users who need global access to most management features and data across Microsoft online services.

授與太多的使用者全域存取權會造成安全性風險,因此建議您擁有 2 到 4 個之間的全域系統管理員。Giving too many users global access is a security risk and we recommend that you have between 2 and 4 Global admins.

只有全域系統管理員可以:Only global admins can:
- 重設所有使用者的密碼- Reset passwords for all users
- 新增和管理網域- Add and manage domains

附註: 註冊 Microsoft 線上服務的人員會自動成為全域系統管理員。Note: The person who signed up for Microsoft online services automatically becomes a Global admin.
全域讀取者Global reader 將全域讀取者角色指派給需要檢視系統管理中心中的全域系統管理員可檢視的系統管理功能和設定的使用者。Assign the global reader role to users who need to view admin features and settings in admin centers that the global admin can view. 全域讀取者系統管理員無法編輯任何設定。The global reader admin can't edit any settings.
群組系統管理員Groups admin 將群組管理員角色指派給需要跨系統管理中心管理所有群組設定的使用者,包括 Microsoft 365 系統管理中心和 Azure Active Directory 入口網站。Assign the groups admin role to users who need to manage all groups settings across admin centers, including the Microsoft 365 admin center and Azure Active Directory portal.

群組系統管理員可以:Groups admins can:
- 建立、編輯、刪除及還原 Microsoft 365 群組- Create, edit, delete, and restore Microsoft 365 groups
- 建立並更新群組建立、到期及命名原則- Create and update group creation, expiration, and naming policies
- 建立、編輯、刪除及還原 Azure Active Directory 安全性群組- Create, edit, delete, and restore Azure Active Directory security groups
服務台系統管理員Helpdesk admin 將服務台系統管理員角色指派給需要執行下列動作的使用者:Assign the Helpdesk admin role to users who need to do the following:
- 重設密碼- Reset passwords
- 強制使用者登出- Force users to sign out
- 管理服務要求- Manage service requests
- 監視服務健康情況- Monitor service health

附註:服務台系統管理員只能協助非系統管理員使用者和獲指派下列角色的使用者:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者和報告讀取者。Note: The Helpdesk admin can only help non-admin users and users assigned these roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, and Reports reader.
授權系統管理員License admin 將授權系統管理員角色指派給需要指派和移除使用者授權,以及編輯其使用位置的使用者。Assign the License admin role to users who need to assign and remove licenses from users and edit their usage location.

授權系統管理員也可以:License admins also can:
- 重新處理群組型授權的授權指派- Reprocess license assignments for group-based licensing
- 將產品授權指派群組以進行群組型授權- Assign product licenses to groups for group-based licensing
Office應用程式系統管理員Office Apps admin 將 Office 應用程式系統管理員角色指派給需要執行下列動作的使用者:Assign the Office Apps admin role to users who need to do the following:
- 使用 Office 雲端原則服務來建立及管理 Office 的雲端式原則- Use the Office cloud policy service to create and manage cloud-based policies for Office
- 建立和管理服務要求- Create and manage service requests
- 管理使用者在 Office 應用程式中看到的新功能內容- Manage the What's New content that users see in their Office apps
- 監視服務健康情況- Monitor service health
密碼系統管理員Password admin 將密碼系統管理員角色指派給需要重設非系統管理員和密碼系統管理員密碼的使用者。Assign the Password admin role to a user who needs to reset passwords for non-administrators and Password Administrators.
服務支援系統管理員Service support admin 將服務支援系統管理員角色以額外角色的形式,指派給在其常見系統管理員角色之外需要執行下列動作的管理員或使用者:Assign the Service Support admin role as an additional role to admins or users need to do the following in addition to their usual admin role:
- 開啟和管理服務要求- Open and manage service requests
- 檢視和共用訊息中心文章- View and share message center posts
- 監視服務健康情況- Monitor service health
SharePoint 系統管理員SharePoint admin 將 SharePoint 系統管理員角色指派給需要存取和管理 SharePoint Online 系統管理中心的使用者。Assign the SharePoint admin role to users who need to access and manage the SharePoint Online admin center.

SharePoint 系統管理員也可以:SharePoint admins can also:
- 建立和刪除網站- Create and delete sites
- 管理網站集合和全域 SharePoint 設定- Manage site collections and global SharePoint settings
Teams 服務管理員Teams service admin 將 Teams 服務管理員角色指派給需要存取和管理 Teams 系統管理中心的使用者。Assign the Teams service admin role to users who need to access and manage the Teams admin center.

Teams 服務管理員也可以:Teams service admins can also:
- 管理會議- Manage meetings
- 管理會議橋接器- Manage conference bridges
- 管理所有的全組織設定,包括同盟、Teams 升級和 Teams 用戶端設定- Manage all org-wide settings, including federation, teams upgrade, and teams client settings
使用者系統管理員User admin 將使用者系統管理員角色指派給需要為所有使用者執行下列動作的使用者:Assign the User admin role to users who need to do the following for all users:
- 新增使用者和群組- Add users and groups
- 指派授權- Assign licenses
- 管理最多使用者屬性- Manage most users properties
- 建立與管理使用者檢視- Create and manage user views
- 設定密碼到期原則- Update password expiration policies
- 管理服務要求- Manage service requests
- 監視服務健康情況- Monitor service health

使用者系統管理員也可以針對非系統管理員和獲指派下列角色的使用者執行下列動作:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者、報告讀取者:The user admin can also do the following actions for users who aren't admins and for users assigned the following roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, Reports reader:
- 管理使用者名稱- Manage usernames
- 刪除和還原使用者- Delete and restore users
- 重設密碼- Reset passwords
- 強制使用者登出- Force users to sign out
- 更新 (FIDO) 裝置金鑰- Update (FIDO) device keys

Microsoft 合作夥伴的委派系統管理Delegated administration for Microsoft Partners

如果您正與 Microsoft 合作夥伴合作,您可以指派系統管理員角色給他們。If you're working with a Microsoft partner, you can assign them admin roles. 他們也可以反過來指派系統管理員角色給您公司 (或他們公司) 中的使用者。They, in turn, can assign users in your company, or their company, admin roles. 例如,如果他們正在設定並為您管理線上組織,您可能會想要他們這樣做。You might want them to do this, for example, if they are setting up and managing your online organization for you.

合作夥伴可以指派以下角色: A partner can assign these roles:

  • 系統管理代理人:擁有等同於全域系統管理員的權限,但透過合作夥伴中心管理多重要素驗證除外。Admin Agent Privileges equivalent to a global admin, with the exception of managing multi-factor authentication through the Partner Center.

  • 服務台代理人:等同於服務台系統管理員的權限。Helpdesk Agent Privileges equivalent to a helpdesk admin.

在合作夥伴可以將這些角色指派給使用者之前,您必須先將該合作夥伴新增為您帳戶的委派系統管理員。Before the partner can assign these roles to users, you must add the partner as a delegated admin to your account. 此程序是由獲授權的合作夥伴初始化。This process is initiated by an authorized partner. 合作夥伴會傳送電子郵件給您,詢問您是否想要授與其權限,以做為委派的系統管理員。如需指示,請參閱授權或移除合作夥伴關係The partner sends you an email to ask you if you want to give them permission to act as a delegated admin. For instructions, see Authorize or remove partner relationships.

指派系統管理員角色Assign admin roles

Microsoft 365 系統管理中心的 Azure AD 角色Azure AD roles in the Microsoft 365 admin center

Exchange Online 系統管理員角色Exchange Online admin role

Microsoft 365 系統管理中心的活動報告Activity reports in the Microsoft 365 admin center