管理員權限定義

在管理控制台中將權限授予管理員時，也會同時授予對應的 API 權限。舉例來說，如果將透過管理控制台建立使用者的權限授予管理員，則管理員也能透過 API 建立使用者。同樣地，當您更新 Admin API 權限時，也會同時更新管理控制台中對應的權限。

如要在管理控制台中授予權限，但是禁止管理員在 API 中執行對應操作，請關閉帳戶的 API 存取權。詳情請參閱管理 Google 服務存取權：「受限制」或「未限制」。

只要具備 Admin API 權限，即可使用 Google Workspace Admin API 處理以下項目：

• 機構單位：管理員可以執行在「機構單位」管理控制台權限範圍內的任何作業。

  在具備 API 權限的情況下，您可以使用 Directory API 執行這些作業。

• 使用者：管理員可以執行在「使用者」管理控制台權限範圍內的任何作業。

  在具備 API 權限的情況下，您可以使用 Directory API 執行這些作業。

• 群組：管理員可以執行在「群組」管理控制台權限範圍內的任何作業。

  在具備 API 權限的情況下，您可以使用下列項目執行這些作業：

  • Directory API
  • Groups Settings API
• 使用者安全性管理：管理員可以執行在「使用者安全性」管理控制台權限範圍內的任何作業。

  在具備 API 權限的情況下，您可以使用下列項目執行這些作業：

  • Directory API
  • Admin Settings API
• 資料移轉：超級管理員或服務管理員可以透過管理控制台轉移使用者的雲端硬碟檔案擁有權。管理員也必須具備「雲端硬碟服務」權限，才能存取控制台中的「轉移擁有權」設定。這些動作都無法限定為只能在特定機構單位中執行。
  注意：只有超級管理員可以在刪除使用者時轉移檔案擁有權。
• 架構管理：超級管理員或服務管理員可以建立架構，為自己的網域定義自訂欄位，例如使用者專案、位置或聘任日期。
• 授權管理：超級管理員和具備「授權管理」角色的管理員皆可指派及管理機構、機構單位、使用者群組或個別使用者的 Google Workspace 授權。
• 帳單管理：管理員可以處理帳單事務，例如設定帳單帳戶或變更付款方式。這項權限只能在管理控制台中使用。
• 網域管理：管理員可以新增或移除網域，也可以設定網域別名。
• 管理網域許可清單：管理員可以建立及管理信任網域的許可清單，指定哪些網域能與貴機構共用檔案。
• 讀取網域許可清單：管理員可以查看信任網域的許可清單，瞭解哪些網域能與貴機構共用檔案。
• 管理群組資源的鎖定標籤：管理員可以鎖定及取消鎖定群組。根據預設，超級管理員和群組管理員皆具備這項權限。
• 為群組新增安全標籤：管理員可以定義哪些群組能控管機密資訊和資源的存取權。詳情請參閱「將 Google 群組更新為安全性群組」。

如果您建立了自訂角色，可以勾選權限旁邊的方塊，允許角色使用 API 對物件執行所有動作。您也可以只授權角色執行特定動作，只要點選個別動作即可 (例如「建立」或「讀取」)。

具備「網域設定」權限的管理員可以執行以下動作：

• 變更機構名稱、語言、標誌及時區。
• 刪除您的 Google Workspace 或 Cloud Identity 帳戶。
• 查看 Google Workspace 或 Cloud Identity 帳戶的帳單資訊。
• 新增及移除網域和網域別名。
• 在 Google 協作平台中設定網站對應的自訂網址。
• 管理功能發布流程。
• 選擇您要從 Google 接收的電子郵件類型。詳情請參閱選擇 Google Workspace 通知偏好設定。

這些動作無法限定為只能在特定機構單位中執行。

具備「群組」權限的管理員對於管理控制台中建立的群組具有完整的管理權限。這也會授予對應的 Admin API 權限 (如上)。

具備這項權限的管理員可執行以下操作：

• 查看使用者個人資料和機構架構。
• 在管理控制台中建立、管理及刪除群組。
• 管理群組存取設定。
• 開啟存取權群組服務 (需要機構單位與服務權限)。詳情請參閱使用配置群組自訂服務設定。

這些操作無法限定為只適用於特定機構單位。

提示：如果要允許管理員查看使用者的群組，但不提供編輯權限，請依序點選「群組」「讀取」，為其授予讀取 API 權限。

具備這項權限的管理員可以使用管理控制台的「使用者」頁面，管理帳戶的機構架構。這也會授予對應的 Admin API 權限 (如上)。

機構單位權限：

• 讀取
• 建立
• 更新
• 刪除

授予「建立」、「更新」或「刪除」權限時，系統會自動授予「讀取」權限。

您可以允許管理員對帳戶中的所有使用者執行動作，或是限制管理員只能對特定機構單位中的使用者執行動作。詳情請參閱「指派特定管理員角色」。

管理員可存取使用情況報告和稽核記錄。詳情請參閱「報告總覽」。

具備「報告」權限的管理員可以執行以下動作：

• 查看服務使用情形圖表。
• 追蹤使用者活動，例如文件編輯活動。
• 追蹤其他管理員在管理控制台中所做的變更。

這些動作無法限定為只能在特定機構單位中執行。

使用者安全性管理

注意：只有超級管理員可以查看其他管理員的安全性設定。

管理員可以管理個別使用者的安全性設定，但管理對象僅限沒有管理員權限的使用者。這也會授予對應的 Admin API 權限 (如上)。

具備「使用者安全性管理」權限的管理員可以在個別使用者的「使用者」頁面上執行以下操作：

• 停用兩步驟驗證。只有超級管理員才能為整個機構強制執行兩步驟驗證。
• 停用登入驗證 10 分鐘。只有超級管理員可以停用登入驗證。
• 審查及撤銷安全金鑰。
• 審查及撤銷應用程式密碼。
• 重設登入 Cookie (不適用於經銷商管理員)。
• 審查及撤銷使用者授予第三方應用程式的任何三足式 OAuth 憑證。

除了強制執行和停用兩步驟驗證外，所有其他操作都可以限制只在特定機構單位中執行。

安全性設定

• 允許低安全性應用程式存取帳戶
• 監控使用者密碼
• 設定單一登入 (SSO) 和身分驗證

「允許低安全性應用程式存取帳戶」是唯一可以限定為只在特定機構單位中執行的動作。

具備「支援」權限的管理員可以透過電話、即時通訊和電子郵件與 Google Workspace 支援團隊聯絡，也可以在 Google 客戶服務入口網站中提交客服案件。

「與 Google Workspace 支援團隊聯絡」權限的授予範圍不能限定為特定機構單位。

具備「使用者」權限的管理員可針對使用者執行動作。只有超級管理員才能變更其他管理員的設定。這也會授予對應的 Admin API 權限 (如上)。

• 建立
• 讀取
• 更新：授予變更使用者帳戶的權限，包括封存、取消封存，以及授予還原資料的權限。此外，還包括下列可個別委派的權限。
  • 移動使用者
    注意：只有超級管理員可以使用轉移工具將非受管使用者帳戶轉移至 Google Workspace 受管理使用者帳戶。
  • 將使用者停權
  • 為使用者重新命名
  • 重設密碼
  • 強制變更密碼
  • 新增/移除別名
• 刪除

授予「建立」權限時，系統會自動授予「讀取」和「更新」權限；授予「更新」或「刪除」權限時，系統會自動授予「讀取」權限。

您可以允許管理員對帳戶中的所有使用者執行動作，或是限制管理員只能對特定機構單位中的使用者執行動作。詳情請參閱「將使用者設為管理員」。

提示：如果要允許管理員查看使用者的群組，但不提供編輯權限，請依序點選「群組」「讀取」，為其授予 API 權限。

「服務設定」權限不會自動將權限授予某些服務和設定，例如資料地區、資料安全性、Google 保管箱和安全中心。

具備「服務設定」權限的管理員可以開啟或關閉服務，也可以變更服務設定。這項權限適用於您已加入帳戶中的特定產品 (日曆和雲端硬碟等 Google Workspace 服務)、Marketplace 中的應用程式，以及免費的 Google 服務 (例如 YouTube 和 Blogger)。

如需權限說明及建立角色的相關建議，請參閱「授予快訊中心存取權」。

Admins with this privilege can manage Google AppSheet settings, including governance policies and team management. For more information, go to Assign AppSheet admin privileges to Workspace admins.

具備「日曆」權限的管理員可建立、編輯及刪除資源，但不能修改 Google 日曆資源的共用設定。

日曆管理權限：

• 所有設定：管理員可存取及管理共用設定、資源、會議室數據分析資訊主頁和一般設定。
• 建築物與資源：管理員可建立、編輯及刪除日曆資源，並存取會議室數據分析資訊主頁。
• 管理資源：管理員可建立、編輯及刪除日曆資源、建築物以及資源設施。
• 查看資源：管理員可以查看資源，但無法編輯。
• 會議室數據分析：管理員可在會議室數據分析資訊主頁中查看相關分析資料、設定篩選器，以及調整日期範圍。
• 查看設定：管理員只能查看日曆設定，無法編輯。
• 管理日曆：管理員可以存取、編輯及管理所有使用者和資源日曆。

注意：管理員無法只對特定機構單位執行這些動作。

授予「服務設定」權限時，系統不會自動選取這項權限。

管理員可以管理貴機構的 Chrome 裝置和政策，包括：

• 使用者設定
• 裝置設定
• Chrome 裝置上的 Chrome 和 Google Play 管理版應用程式和擴充功能

詳情請參閱「在 Chrome 中委派管理員角色」。

具備「Classroom」權限的管理員可為使用者開啟或關閉這項服務。管理員還能進行下列操作：

• 設定老師權限和監護人存取權。
• 選擇誰可以加入課程，以及哪些課程可以加入。
• 控管使用者存取 Classroom 資料的方式。
• 將 Classroom 中的成績和作業資料匯出至學校的資訊系統。

管理課程：超級管理員可以將臨時課程存取權指定給使用者，也可以限制特定機構單位的課程存取權。

查看使用者及其課程的數據分析資料：超級管理員可以將機構的 Classroom 分析資料存取權指定給使用者，也可以限制特定機構單位的課程存取權。

具備「Cloud Search」權限的管理員可以執行以下操作：

• 授予使用者 Google Cloud Search 存取權。
• 開啟或關閉服務。
• 查看貴機構使用 Cloud Search 的報表，包括從各類裝置送出的搜尋查詢數，以及活躍使用者人數。
• 管理第三方存放區的設定，例如資料來源、識別資訊來源、搜尋應用程式等設定。管理員也具備索引的讀取或寫入權限。

瞭解如何為開發人員建立 Cloud Search 管理員角色。

「聯絡人委派代表」是指有權存取其他使用者的聯絡人，而且能代為管理這些聯絡人的使用者。具備「聯絡人」權限的管理員可以透過 Contact Delegation API 查看、建立或刪除特定使用者的委派代表：

• 委派代表讀取權限：管理員可以使用 API 列出特定使用者的委派代表。這項權限相當於以下 OAuth 範圍：https://www.googleapis.com/auth/admin.contact.delegation.readonly。
• 委派對象寫入權限：管理員可以使用 API 建立或刪除特定使用者的委派對象，這項權限相當於以下 OAuth 範圍：https://www.googleapis.com/auth/admin.contact.delegation。

授予「服務設定」權限時，系統不會自動選取這項權限。

具備管理分類標籤權限的管理員可以為雲端硬碟檔案和 Gmail 郵件建立標籤，以及查看所有標籤。也可以查看特定標籤是否已由 Google 保管箱資料保留規則、資料分類規則或資料遺失防護 (DLP) 規則使用。不過，他們必須同時具備資料保留規則或資料遺失防護規則的權限，才能查看資料。詳情請參閱「以分類標籤管理員身分開始使用」。

授予管理員「服務設定」權限時，系統僅會自動選取「查看資料遺失防護規則」權限。

資料遺失防護權限：

• 查看資料遺失防護規則：管理員可以查看資料遺失防護規則，但不能修改或建立規則。
• 管理資料遺失防護規則：管理員可以查看、修改及建立資料遺失防護規則。

您必須「同時」啟用上述兩項權限，才能取得建立及編輯規則的完整權限。因此，建議您建立具備這兩項權限的自訂角色。

授予「服務設定」權限時，系統不會自動選取這項權限。

資料地區權限：

• 資料地區設定：管理員可以使用資料地區政策，選擇將資料地區政策涵蓋的資料儲存在特定地理位置。詳情請參閱「資料地區：選擇資料存放的地理位置」。
• 資料地區報告：管理員可查看資料在地區之間遷移的進度。詳情請參閱「查看資料地區遷移進度」。

管理員可以管理設定並控管目錄中的個人資料異動，讓使用者可以變更名稱、相片、性別與生日等個人資料。

Directory Sync 權限：

• 管理 Directory Sync 設定：新增、更新及管理 Directory Sync 設定。
• 讀取 Directory Sync 設定：查看 Directory Sync 設定，但無法進行變更。

如需詳細資訊，請參閱「Directory Sync」。

Google 雲端硬碟與文件管理權限：

• 設定：管理員可管理機構中關於雲端硬碟與文件服務的所有設定。您必須擁有這項權限與「資料移轉」權限，才能轉移雲端硬碟檔案的擁有權。詳情請參閱「將雲端硬碟檔案轉移給新擁有者」。
• 文件範本：在文件、試算表、簡報和表單範本庫以及管理控制台的「雲端硬碟與文件」部分中，管理員可以移除範本及將範本分類。如果將提交的範本在管理控制台中設為「需經過審核」，管理員就可以接受或拒絕提交的範本。如果設定「限制」提交範本，管理員則可在範本庫中新增範本。詳情請參閱「建立自訂雲端硬碟範本」。
• 將任何檔案或資料夾移至共用雲端硬碟：管理員可以將檔案和資料夾移至機構的共用雲端硬碟。不過，管理員無法將共用雲端硬碟中的檔案和資料夾移至另一個共用雲端硬碟。進一步瞭解共用雲端硬碟存取層級。
• 管理標籤：已淘汰並由「管理分類標籤權限」取代。
• 查看 Google 協作平台的詳細資料：管理員可以辨識網站擁有者、查看網站上次發布的日期，以及索取網站編輯權限。

As an admin, you can control who uses the Gemini app in your organization. Admins with this privilege can also turn the Gemini app on or off.

授予管理員「服務設定」權限時，系統僅會自動選取 [設定] 權限。

Gmail 管理權限：

• 設定：管理貴機構中所有的 Gmail 服務設定。
• 電子郵件記錄搜尋：搜尋電子郵件記錄、排解郵件寄送問題，以及調查電子郵件安全相關問題。
• 存取管理員隔離區：存取及管理所有隔離區 (包括預設隔離區) 中的電子郵件。
• 存取受限的隔離區：只能針對與管理員所屬群組相關聯的隔離區，存取及管理其中的電子郵件。

• 設定：讀取及修改 Google Chat 設定，例如儲存對話內容，以及允許使用者與機構外部人士對話。
• 管理 Chat 和聊天室對話：管理聊天室和聊天室成員。
• 管理 Chat 內容報告：查看及處理 Chat 內容檢舉報告。

授予「服務設定」權限時，系統不會自動選取這項權限。

具備這項權限的管理員可以為機構設定及管理 Google 雲端列印服務，包括透過下列位置列印：

• Chrome 裝置與 Windows、Mac 和 Linux 電腦上的 Chrome 瀏覽器
• 行動版 Google Workspace 服務 (例如 Gmail)
• 第三方原生行動應用程式

詳情請參閱「透過 Chrome 列印」。

具備這項權限的管理員可以執行以下操作：

• 管理設定
• 存取 Google Meet 的品質資訊主頁。詳情請參閱「追蹤會議品質和統計資料」。

除非您的帳戶至少有一個 Google Meet 設備授權或已註冊的裝置，否則此權限不會顯示。

管理員可以建立使用者角色及指派權限，讓要查看及管理 Google Meet 設備裝置的使用者，具備不同的資料及功能存取層級。如果授予使用者上層權限，系統會將樹狀結構中，位於該權限下的所有巢狀子項權限一併授予給使用者。

權限階層

• 管理 Google Meet 設備和日曆
  • 管理 Google Meet 設備
    • 管理裝置
      • 查看裝置
    • 管理機構單位設定
      • 查看機構單位設定
    • 執行動作
      • 執行裝置指令
      • 管理裝置會議
    • 取消佈建 Google Meet 設備
  • 管理日曆指派設定
• 註冊 Google Meet 設備

詳細說明

• 管理 Google Meet 設備和日曆：管理員可以完整存取所有可用的 Meet 設備裝置資料和功能，但不具備註冊 Google Meet 設備的權限。管理員可以存取及查看所有使用者日曆和資源日曆。
  限制：透過群組角色指派這項權限時，有時群組成員可能無法取得所有指派角色的權限。詳情請參閱「將角色指派給群組」。
• 管理 Google Meet 設備：管理員可以存取所有可用的 Meet 設備裝置資料和功能，但不具備註冊 Google Meet 設備及管理日曆指派設定的權限。
• 管理裝置：管理員可以修改日曆指派設定以外的所有個別裝置設定。此外，管理員可以授予「查看」裝置的權限。
• 查看裝置：管理員可以取得裝置資料的唯讀存取權，包括問題記錄和機群資料匯出功能；管理員必須能夠存取許多其他權限代管功能的頁面，這些權限包括管理日曆指派設定、執行動作及其子項權限，以及取消佈建 Google Meet 設備。
• 管理機構單位設定：管理員可以編輯在機構單位層級控管的 Google Meet 設備設定，以及在機構單位之間移動裝置。
• 查看機構單位設定：管理員可以查看在機構單位層級控管的 Google Meet 設備設定。
• 執行動作：管理員可以對兩種子項權限執行操作：管理裝置會議和執行裝置指令。
• 管理裝置會議：管理員可以從遠端連線至會議，並將進行中的通話設為靜音或掛斷。
• 執行裝置指令：管理員可以重新啟動裝置或觸發診斷測試。
• 取消佈建 Google Meet 設備：管理員可以取消註冊裝置，讓系統刪除裝置資料並收回授權。
• 管理日曆指派設定：管理員可以將個人日曆或會議室日曆指派給裝置。
• 註冊 Google Meet 設備：可以與「必須具有註冊權限」政策搭配使用。啟用此政策後，只有具備這項權限的使用者可以在貴機構中註冊新的 Meet 設備裝置。詳情請參閱「註冊裝置」。

注意：管理員目前無法只對特定機構單位設定這些裝置權限限制。

授予「服務設定」權限時，系統不會自動選取這項權限。

管理員可以查看所有案件，也可以管理案件、訴訟保留、搜尋內容、匯出內容、資料保留政策與稽核記錄。詳情請參閱「瞭解及授予保管箱權限」。

具備這項權限的管理員可以控管使用者能從 Marketplace 安裝哪些第三方或內部應用程式，並透過下列選項進行設定：

• 允許使用者安裝及執行來自 Marketplace 的任何應用程式
• 僅允許使用者安裝及執行來自 Marketplace 的所選應用程式
• 禁止使用者安裝及執行來自 Marketplace 的應用程式

  如要進一步瞭解使用者對 Marketplace 應用程式的存取權，請參閱「管理許可清單中的 Marketplace 應用程式」。

具備這項權限的管理員可以讀取及修改網路論壇企業版的設定，包括：

• 誰可以建立群組。
• 貴機構外部的使用者是否能查看、搜尋及張貼內容至群組。
• 誰能查看群組中會話群組的預設值。

具備這項權限的管理員可以管理 Looker Studio 設定，包括查看、共用及自訂資訊主頁與報表。進一步瞭解 Looker Studio。

具備這項權限的管理員對於管理控制台中列出的裝置擁有完整的管理權限，並可執行以下操作：

• 管理裝置設定和政策。
• 執行所有管理作業，例如核准、封鎖、刪除及抹除裝置資料。
• 發布及管理行動應用程式。

授予「服務設定」權限時，系統不會自動選取這項權限。

具備這項權限的管理員可以設定及管理密碼保管箱應用程式。

相關主題

• 開始使用密碼保管箱應用程式
• 指派密碼保管箱應用程式服務的管理員權限

具備「Pinpoint」權限的管理員可為使用者啟用或停用這項服務，也可以設定使用者是否能將 Google 雲端硬碟的檔案複製到 Pinpoint。

授予「服務設定」權限時，系統不會自動選取這項權限。

具備這項權限的管理員可以管理安全 LDAP 服務，也可以新增或刪除 LDAP 用戶端。瞭解詳情

重要事項：只有具備超級管理員權限的管理員才能使用安全 LDAP 服務，因此超級管理員無法將安全 LDAP 權限指派給委派的管理員。為使用者設定管理員角色時，請忽略這項設定。

授予「服務設定」權限時，系統不會自動選取這項權限。

具備這項權限的管理員可存取進階的安全性資訊和數據分析，並進一步查看及控管影響其機構的安全性問題。

超級管理員會自動獲得所有安全中心功能的存取權，例如可以存取安全性資訊主頁、安全性狀態頁面以及調查工具。您可以將特定安全中心功能的存取權 (例如僅限安全性資訊主頁) 授予管理員，只要將存取該功能所需的管理員權限授予這些管理員即可。

相關主題

• 安全中心的管理員權限
• 使用安全性資訊主頁
• 開始使用安全性狀態頁面
• 關於安全調查工具

授予「服務設定」權限時，系統不會自動選取這項權限。

具備這項權限的管理員可管理所有一般裝置設定，並為行動裝置、Chrome 裝置和 Chromebox 視訊會議解決方案裝置配置虛擬私人網路 (VPN)、Wi-Fi 和乙太網路設定。

管理員可以讀取及修改協作平台設定，例如控管使用者是否能建立及編輯網站，以及是否能與貴機構外的人員共用網站。

具備這項權限的管理員可以在管理控制台中開啟「儲存空間」頁面，以及設定儲存空間上限，但須具備額外權限才能查看儲存空間資料。如需完整清單，請參閱「儲存空間管理員角色」說明。

管理雲端硬碟共用功能的信任規則權限：

• 查看信任規則：管理員可以讀取規則清單中的信任規則清單。如要查看規則設定詳細資料，管理員還需要「機構單位」「讀取」權限。
• 管理信任規則：單憑這項權限，管理員無法存取管理控制台中的所有設定。如要管理信任規則，管理員必須具備下列權限：
  • 如要啟用或停用信任規則，管理員必須具備管理信任規則和「雲端硬碟與文件」「設定」權限。
  • 如要建立、編輯或刪除信任規則，管理員必須具備查看信任規則、管理信任規則、「雲端硬碟與文件」「設定」、「群組」「讀取」，以及「機構單位」「讀取」等權限。
  • 如要刪除信任規則，管理員必須具備查看信任規則、管理信任規則和「雲端硬碟與文件」「設定」權限。

授予「服務設定」權限時，系統不會自動選取這項權限。

管理員可以存取工作狀況剖析資訊主頁中的資料。僅有已開啟工作狀況剖析的團隊能使用相關資料。

您可以開放使用者查看已啟用此工具的所有團隊或特定團隊的資料，包括機構單位、獲得授權的群組或主管直系下屬的團隊。

相關主題

• 控管要在工作狀況剖析中提供哪些資料
• 授予工作狀況剖析存取權

具備這項權限的管理員可以執行以下操作：

• 限制貴機構的使用者能觀看哪些 YouTube 影片。
• 為不同機構單位指定不同的 YouTube 存取層級 (嚴格、中等或不限制)。

詳情請參閱「管理貴機構的 YouTube 設定」。