查看 YouTube 上的
Microsoft 365 小型企業說明
。
Microsoft 365 或 Office 365 訂閱隨附一組系統管理員角色,您可以使用
Microsoft 365 系統管理中心
指派給組織中的使用者。 每個系統管理員角色會與常見的商務功能對應,並可讓組織中的人員在系統管理中心執行特定工作的權限。
如果您需要本主題中步驟的協助,請考慮
與 Microsoft 小型企業專家合作
。 有了 [商務小幫手],您和員工會隨著業務成長,從上線到日常使用,取得小型企業專家的全天候存取權。
注意: 何謂系統管理員?
請在我們的
YouTube 頻道
上查看此影片和其他影片。
當登入 Microsoft 365 時,請選取應用程式啟動器。 如果您看到 [系統管理員] 按鈕,表示您是系統管理員。
選取
[系統管理員]
進入 Microsoft 365 系統管理中心。
在左側瀏覽窗格中,選取
[使用者]
>
[作用中使用者]
。
選取您要指定為系統管理員的人員。使用者的詳細資料會顯示在右側對話方塊中。
Microsoft 365 系統管理中心
可讓您管理 Azure AD 角色和 Microsoft Intune 角色。 不過,這些角色是 Azure AD 入口網站和 Intune 系統管理中心中可用角色的子集。
如需您可以在
Microsoft 365 系統管理中心
中管理的詳細 Azure AD 角色描述完整清單,請參閱
Azure AD 內建角色主題中的系統管理員角色許可權
。
如需您可以在Microsoft 365 系統管理中心中管理之詳細
Intune
角色描述的完整清單,請參閱
角色型存取控制 (RBAC) 與Microsoft Intune
。
如需在
Microsoft 365 系統管理中心
指派角色的詳細資訊,請參閱指
派系統管理員角色
。
指派角色的安全性指導方針
因為系統管理員可以存取機密資料和檔案,建議您遵循這些指導方針,讓組織的資料更安全。
這為什麼很重要?
有 2 到 4 位全域管理員
全域系統管理員幾乎無限制地存取貴組織的設定及其大部分資料。 建議您盡可能限制全域系統管理員的數目。 全域管理員可能會不小心鎖定其帳戶,並需要重設密碼。 另一個全域管理員或特殊許可權驗證管理員可以重設全域管理員的密碼。 因此,建議您在全域管理員鎖定其帳戶時,至少要有一個全域管理員或特殊許可權驗證管理員。
指派
最嚴謹
角色
指派
最嚴謹
角色表示,僅提供系統管理員完成工作所需的存取權。 例如,如果您想要有人重設員工密碼,您不應該指派無限制的全域系統管理員角色,您應該指派有限的系統管理員角色,例如密碼管理員或技術服務人員系統管理員。
要求系統管理員使用多重要素驗證
要求所有使用者使用 MFA 實際上是個好想法,但一定要要求系統管理員使用 MFA 登入。 MFA 可讓使用者使用第二種識別方法來驗證其身分識別。 系統管理員可以存取大部分的客戶和員工資料。 如果您需要 MFA,即使系統管理員的密碼遭到入侵,如果沒有第二個識別方法,密碼也是無用的。
當您開啟 MFA 時,使用者下次登入時,必須提供用於帳戶復原用途的備用電子郵件地址和電話號碼。
設定多重要素驗證
如果您在系統管理中心收到一則訊息,指出您沒有編輯設定或頁面的許可權,這是因為您獲指派了沒有該許可權的角色。 請與另一位系統管理員連絡以指派正確的許可權,或參閱
指派系統管理員角色
以指派正確的角色。
常用的 Microsoft 365 系統管理中心角色
在 Microsoft 365 系統管理中心中,您可以移至
[角色指派]
,然後選取任何角色來開啟其詳細資料窗格。 選取 [權限]
索引標籤,以檢視系統管理員指派該角色具備權限之工作的詳細清單。 選取 [已指派]
或 [指派的系統管理員]
索引標籤來將使用者新增至角色。
您可能只需要在組織中指派下列角色。 根據預設,我們會先顯示大部分組織使用的角色。 如果您找不到某個角色,請移至清單底部,然後選取 [依類別顯示全部]
。 (如需詳細資訊,包括與角色相關聯的 Cmdlet,請參閱
Azure AD 內建角色
。)
系統管理員角色
誰應獲指派此角色?
計費系統管理員
將計費系統管理員角色指派給進行購買、管理訂閱和服務要求,以及監視服務健康情況的使用者。
計費系統管理員也可以:
- 管理所有層面的帳單
- 在 Azure 入口網站中建立和管理支援票證
Exchange 系統管理員
將 Exchange 系統管理員角色指派給需要檢視和管理您使用者的電子郵件信箱、Microsoft 365 群組和 Exchange Online 的使用者。
Exchange 系統管理員也可以:
- 復原使用者信箱中已刪除的郵件
- 設定「傳送為」和「代表傳送」代理人
網狀架構系統管理員
將 Fabric 系統管理員角色指派給需要執行下列動作的使用者:
- 管理 Microsoft Fabric 和 Power BI 的所有系統管理員功能
- 關於使用量和效能的報告
- 檢閱和管理稽核
全域系統管理員
將全域系統管理員角色指派給需要透過 Microsoft 線上服務多數管理功能和資料的全域存取權的使用者。
提供太多使用者的全域存取權是一項安全性風險,建議您擁有兩到四位全域系統管理員。
只有全域系統管理員可以:
- 重設所有使用者的密碼
- 新增和管理網域
- 解除封鎖另一個全域系統管理員
注意:
註冊 Microsoft 線上服務的人員會自動成為全域系統管理員。
全域讀取者
將全域讀取者角色指派給需要檢視系統管理中心中的全域系統管理員可檢視的系統管理功能和設定的使用者。 全域讀取者系統管理員無法編輯任何設定。
群組系統管理員
將群組管理員角色指派給需要跨系統管理中心管理所有群組設定的使用者,包括 Microsoft 365 系統管理中心和 Azure Active Directory 入口網站。
群組系統管理員可以:
- 建立、編輯、刪除及還原 Microsoft 365 群組
- 建立並更新群組建立、到期及命名原則
- 建立、編輯、刪除及還原 Azure Active Directory 安全性群組
服務台系統管理員
將服務台系統管理員角色指派給需要執行下列動作的使用者:
- 重設密碼
- 強制使用者登出
- 管理服務要求
- 監視服務健康情況
附註
:服務台系統管理員只能協助非系統管理員使用者和獲指派下列角色的使用者:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者和報告讀取者。
授權系統管理員
將授權系統管理員角色指派給需要指派和移除使用者授權,以及編輯其使用位置的使用者。
授權系統管理員也可以:
- 重新處理群組型授權的授權指派
- 將產品授權指派群組以進行群組型授權
訊息中心隱私權讀取者
將訊息中心隱私權讀取者角色指派給需要在 Microsoft 365 訊息中心讀取隱私權、安全性訊息和更新的使用者。 訊息中心隱私權讀取者可能會根據其喜好設定,收到與資料隱私權相關的電子郵件通知,並且可以使用訊息中心喜好設定來取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此角色沒有檢視、建立或管理服務要求的權限。
訊息中心隱私權讀取者也可以:
- 監視訊息中心內的所有通知,包括資料隱私權訊息
- 檢視群組、網域和訂閱
訊息中心讀取者
將訊息中心讀取者角色指派給需要執行下列動作的使用者:
- 監視訊息中心通知
- 取得訊息中心文章和更新的每週電子郵件摘要
- 共用訊息中心文章
- 具有 Azure AD 服務 (例如使用者和群組) 的唯讀存取權
Office應用程式系統管理員
將 Office 應用程式系統管理員角色指派給需要執行下列動作的使用者:
- 使用適用于 Microsoft 365 的雲端原則服務來建立和管理雲端式原則。
- 建立和管理服務要求
- 管理使用者在其 Microsoft 365 應用程式中看到的新功能內容
- 監視服務健康情況
組織訊息寫入器
將組織訊息寫入者角色指派給需要透過 Microsoft 產品介面為使用者撰寫、發佈、管理及檢閱組織訊息的使用者。
密碼系統管理員
將密碼系統管理員角色指派給需要重設非系統管理員和密碼系統管理員密碼的使用者。
Power 平台系統管理員
將 Power 平台系統管理員角色指派給需要執行下列動作的使用者:
- 管理 Power Apps、Power Automate、Power BI、Microsoft Fabric 和 Microsoft Purview 資料外洩防護 的所有系統管理功能
- 建立和管理服務要求
- 監視服務健康情況
報告讀取者
將報告讀取者角色指派給需要執行下列動作的使用者:
- 在 Microsoft 365 系統管理中心檢視使用資料和活動報告
- 取得 Power BI 採用內容套件的存取權
- 取得 Azure AD 中的登入報告和活動的存取權
- 檢視 Microsoft Graph 報告 API 所傳回的資料
服務支援系統管理員
將服務支援系統管理員角色以額外角色的形式,指派給在其日常系統管理員角色之外需要執行下列動作的管理員或使用者:
- 開啟和管理服務要求
- 檢視和共用訊息中心文章
- 監視服務健康情況
SharePoint 系統管理員
將 SharePoint 系統管理員角色指派給需要存取和管理 SharePoint Online 系統管理中心的使用者。
SharePoint 系統管理員也可以:
- 建立和刪除網站
- 管理網站集合和全域 SharePoint 設定
Teams 系統管理員
將 Teams 系統管理員角色指派給需要存取和管理 Teams 系統管理中心的使用者。
Teams 系統管理員也可以:
- 管理會議
- 管理會議橋接器
- 管理所有的全組織設定,包括同盟、Teams 升級和 Teams 用戶端設定
使用者系統管理員
將使用者系統管理員角色指派給需要為所有使用者執行下列動作的使用者:
- 新增使用者和群組
- 指派授權
- 管理最多使用者屬性
- 建立與管理使用者檢視
- 設定密碼到期原則
- 管理服務要求
- 監視服務健康情況
使用者系統管理員也可以針對非系統管理員和獲指派下列角色的使用者執行下列動作:目錄讀取者、來賓邀請者、服務台系統管理員、訊息中心讀取者、報告讀取者:
- 管理使用者名稱
- 刪除和還原使用者
- 重設密碼
- 強制使用者登出
- 更新 (FIDO) 裝置金鑰
使用者體驗成功管理員
將使用者體驗成功管理員角色指派給需要存取體驗深入解析、採用分數,以及Microsoft 365 系統管理中心中訊息中心的使用者。 此角色包含使用量摘要報表讀者角色的許可權。
根據 M365 管理員頁面中管理員角色和群組類型的許可權
管理員角色
M365 群組
Security Groups
動態通訊群組
已啟用郵件的安全性群組
Microsoft 合作夥伴的委派系統管理
如果您正與 Microsoft 合作夥伴合作,您可以指派系統管理員角色給他們。 他們也可以反過來指派系統管理員角色給您公司 (或他們公司) 中的使用者。 如果您要為您設定和管理您的線上組織,您可以將系統管理員角色指派給合作夥伴。
合作夥伴可以指派以下角色:
系統管理代理程式
:擁有等同於全域系統管理員的權限,但透過合作夥伴中心管理多重要素驗證除外。
服務台代理人
:等同於服務台系統管理員的權限。
在合作夥伴可以將這些角色指派給使用者之前,您必須先將該合作夥伴新增為您帳戶的委派系統管理員。 合作夥伴必須是授權的合作夥伴。 合作夥伴會傳送電子郵件給您,詢問您是否想要授與其權限,以做為委派的系統管理員。如需指示,請參閱
授權或移除合作夥伴關係
。
大量授權角色
Microsoft 365 系統管理中心中大量授權資訊的許可權是由大量授權服務中心 (VLSC) 中的 VL 合約管理員所控制,即使是主要使用Microsoft 365 系統管理中心功能而非 VLSC 的 VL 角色也是如此。
某些大量授權 (VL) 功能現在可在Microsoft 365 系統管理中心中使用,而新的大量授權刀鋒視窗只對大量授權使用者可見。
大量授權使用者看不到其他Microsoft 365 系統管理中心資訊或功能。
Microsoft 365 系統管理中心全域管理員在指派 VL 使用者權限時沒有角色,也不需要將任何系統管理員許可權指派給 VL 使用者,讓他們看到大量授權刀鋒視窗。
大量授權使用者必須先在大量授權服務中心註冊, (VLSC) ,其中會管理大量授權功能的所有角色和許可權。
如需Microsoft 365 系統管理中心大量授權的詳細資訊,請移至
大量授權服務中心的常見問題
,或
連絡大量授權服務小組
。
指派系統管理員角色
(文章)
Microsoft 365 系統管理中心的 Azure AD 角色
(文章)
Microsoft 365 系統管理中心的活動報告
(文章)
Exchange Online 系統管理員角色
(文章)
