管理员权限定义

结算管理

数据传输

拥有此权限的超级用户或服务管理员可以使用管理控制台转移用户的 Google 云端硬盘文件所有权。管理员还需要拥有云端硬盘服务权限，才能在管理控制台中访问“转移所有权”设置。此权限的操作无法限定为只能在特定组织部门中执行。

网域

网域设置

拥有网域设置权限的管理员可以执行以下操作：

• 更改组织名称、语言、徽标和时区。
• 删除您的 Google Workspace 或 Cloud Identity 账号。
• 查看您的 Google Workspace 或 Cloud Identity 账号的结算信息。
• 添加和移除网域与网域别名。
• 将自定义网址映射到 Google 协作平台中的网站。
• 管理您的功能发布流程。
• 选择您从 Google 接收哪些类型的电子邮件。有关详情，请参阅选择您的 Google Workspace 资讯接收设置。

这些操作均不可限定为只能在特定组织部门中执行。

网域管理

拥有此权限的管理员可以添加或移除网域，还可以设置网域别名。

管理网域许可名单

拥有此权限的管理员可以创建和管理可与贵组织共享文件的受信任网域许可名单。

读取网域许可名单

拥有此权限的管理员可以查看可与贵组织共享文件的受信任网域许可名单。

社区

群组

拥有群组权限的管理员对于在管理控制台中创建的群组拥有完全控制权限。

拥有此权限的管理员可以：

• 查看用户个人资料和您的组织结构。
• 在管理控制台中创建、管理和删除群组。
• 管理群组访问权限设置。
• 为访问权限群组启用服务（还需要“组织部门”权限和“服务”权限）。有关详情，请参阅通过配置群组自定义服务设置。

这些操作均不可限定为只能在特定组织部门中执行。

提示：如要允许管理员查看用户所属的群组，但不允许其修改群组，请授予管理员群组 读取 API 权限。

管理群组资源的锁定标签

拥有此权限的管理员可以锁定和解锁群组。默认情况下，超级用户和群组管理员拥有此特权。

向群组添加安全标签

拥有此权限的管理员可以定义控制对敏感信息和资源的访问权限的群组。如需了解详情，请参阅将 Google 群组更新为安全群组。

此权限可授予使用 Directory API 和 Groups Settings API 执行这些操作的权限。

许可管理

拥有此权限的超级用户和管理员可以为组织、组织部门、用户群组或个别用户分配和管理 Google Workspace 许可。

单位部门

拥有此权限的管理员可以通过其管理控制台的用户页面管理您账号的组织结构。

组织部门权限：

• 读取
• 创建
• 更新
• 删除

如果授予创建、更新或删除权限，用户就会自动获得读取权限。

您可以允许管理员对您账号中的所有用户执行操作，也可以仅允许对特定组织部门中的用户执行操作。有关详情，请参阅分配特定管理员角色。

此权限可授予使用 Directory API 执行这些操作的权限。

报告

管理员有权访问使用情况报告和审核日志。有关详情，请参阅报告概览。

拥有报告权限的管理员可以执行以下操作：

• 查看显示服务使用情况的图表。
• 跟踪文档编辑等用户活动。
• 跟踪其他管理员在管理控制台中所做的更改。

这些操作均不可限定为只能在特定组织部门中执行。

管理员可以在管理控制台中查看显示服务使用情况的图表、跟踪用户活动（例如文档编辑），以及跟踪其他管理员所做的更改。

架构管理

拥有此权限的超级用户或服务管理员可以创建架构，从而为网域设定自定义字段，例如用户项目、位置和聘用日期。

安全

用户安全管理

注意：只有超级用户才能查看其他管理员的安全设置。

管理员可以管理个别用户的安全设置，他们只能管理没有管理员权限的用户。

对于没有管理员权限的用户，拥有用户安全管理权限的管理员可在相应的用户页面上执行以下操作：

• 停用两步验证。只有超级用户才能为整个组织强制执行两步验证。
• 将登录验证功能停用 10 分钟。只有超级用户可以停用登录验证。
• 查看和撤消安全密钥。
• 查看和撤消应用专用密码。
• 重置登录 Cookie（不适用于转销商管理员）。
• 查看并撤消用户向第三方应用授予的三方模式 OAuth 令牌。

除了强制要求用户执行两步验证以及停用两步验证外，所有其他操作都可以限定为只在特定组织部门中执行。

此权限可授予使用 Directory API 和 Admin Settings API 执行这些操作的权限。

安全设置

• 允许安全性较低的应用访问账号
• 监控用户密码
• 设置单点登录 (SSO) 和身份验证

管理员可以允许安全性较低的应用访问账号、监控用户密码，以及设置单点登录 (SSO) 和身份验证。只有“允许安全性较低的应用访问账号”可以限定为只在特定组织部门中执行。

转销商管理员

只有超级用户可以为其他管理员生成备用验证码。也就是说，管理员（包括转销商管理员）只能为自己的用户查看和创建备用验证码，不能为其他管理员或超级用户操作。如果您希望管理员能够为用户、管理员和超级用户生成并查看备用验证码，必须授予其超级用户权限。

支持

拥有支持权限的管理员可以通过电话、聊天和电子邮件方式与 Google Workspace 支持团队联系。他们还可以在 Google Cloud 支持门户中提交支持请求。

与 Google Workspace 支持团队联系的权限不可限定于特定组织部门。

用户

拥有用户权限的管理员可对用户执行操作。只有超级用户才能更改其他管理员的设置。

• 创建
• 读取
• 更新 - 授予更改用户账号的权限，包括归档、取消归档和授予恢复数据的权限。还包含以下可以单独委托的权限。
  • 移动用户
    注意：只有超级用户可以使用转移工具将非受管用户账号转移至 Google Workspace 受管用户账号。
  • 暂停用户
  • 重命名用户
  • 重置密码
  • 强行更改密码
  • 添加/移除别名
• 删除

如果授予创建权限，用户就会自动获得读取和更新权限。如果授予更新或删除权限，用户就会自动获得读取权限。

此权限授予您可用于通过 Directory API 执行这些操作的 API 权限。

您可以允许管理员对您账号中的所有用户执行操作，也可以仅允许对特定组织部门中的用户执行操作。有关详情，请参阅让用户成为管理员。

提示：如要允许管理员查看用户的群组，但不允许其修改群组，请授予管理员 API 权限，方法是点击群组 读取 API 权限。

服务设置

授予服务设置权限时，系统不会自动授予对某些服务和设置的访问权限，如数据区域、数据安全、Google 保险柜和安全中心。

拥有服务设置权限的管理员可以启用或停用服务以及更改服务设置。适用于您已添加到账号中的特定产品（Google Workspace 服务，如日历和云端硬盘）、Google Workspace Marketplace 中的应用，以及免费 Google 服务（如 YouTube 和 Blogger）。

提醒中心

AppSheet

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以管理 Google AppSheet 设置，包括治理政策和团队管理。如需了解详情，请参阅向 Workspace 管理员分配 AppSheet 管理员权限。

日历

授予服务设置权限时会自动选中此权限。

拥有日历权限的管理员可以创建、修改和删除资源，但无法将这些操作限制为特定组织部门。也无法修改 Google 日历资源的共享设置。

日历管理权限：

• 所有设置：管理员可以访问和管理共享设置、资源、会议室分析信息中心和常规设置。
• 建筑物和资源：管理员可以创建、修改和删除日历资源，还可以访问会议室分析信息中心。
• 管理资源：管理员可以创建、修改和删除日历资源、建筑物和资源设施。
• 查看资源：管理员可以查看资源，但不能修改。
• 会议室数据分析：管理员可以在会议室分析信息中心内查看和设置过滤器，以及调整日期范围。
• 查看设置：管理员只能查看日历设置，不能修改。
• 管理日历* - 管理员可以访问、修改和管理所有用户日历和资源日历。

* 如果您通过群组角色分配来分配此特权，则群组成员将无法获得与该特权关联的所有功能。

Chrome 管理

授予服务设置权限时不会自动选中此权限。

管理员可以管理贵组织的 Chrome 设备和政策，包括：

• 用户设置
• 设备设置
• Chrome 设备上的 Chrome 应用、Google Play 企业版应用以及扩展程序

如需了解详情，请参阅在 Chrome 中指派管理员角色。

课堂

拥有课堂权限的管理员可以为用户启用或停用此服务。他们还可以：

• 设置教师权限和监护人访问权限。
• 选择哪些用户可以加入课程，以及可以加入哪些课程。
• 控制用户访问 Google 课堂数据的方式。
• 将成绩和作业从 Google 课堂导出至学校的信息系统。

管理课程：超级用户可以向用户授予临时的课程访问权限，也可以将课程访问权限仅授予特定的组织部门。

查看用户及其课程的分析数据：超级用户可以向用户授予组织级 Google 课堂分析数据的访问权限，也可以将访问权限仅授予特定的组织部门。

Cloud Search

授予服务设置权限时会自动选中此权限。

拥有 Cloud Search 权限的管理员可以执行以下操作：

• 授予用户访问 Google Cloud Search 的权限。
• 启用或停用此服务。
• 查看贵组织的 Cloud Search 使用情况报告，包括活跃用户数以及通过不同类型设备执行的搜索查询数量。
• 管理第三方存储区，例如数据源、身份源和搜索应用的设置。管理员还拥有索引的读/写权限。

详细了解如何为开发者创建 Cloud Search 管理员角色。

通讯录

授予服务设置权限时会自动选中此权限。

联系人受托人是有权为其他用户查看和管理联系人的用户。拥有联系人权限的管理员可以使用 Contact Delegation API 查看、创建或删除指定用户的受托人：

• 受托人读取：管理员可以使用 API 列出特定用户的受托人，这相当于 OAuth 范围 https://www.googleapis.com/auth/admin.contact.delegation.readonly。
• 受托人写入：管理员可以使用 API 创建或删除特定用户的受托人，这相当于 OAuth 范围 https://www.googleapis.com/auth/admin.contact.delegation。

数据分类

授予服务设置权限时不会自动选中此权限。

拥有管理分类标签特权的管理员可以为云端硬盘文件和 Gmail 邮件创建标签，并查看所有标签。还可以查看 Google 保险柜保留规则、数据分类规则或数据泄露防护 (DLP) 规则是否使用了标签。但是，除非同时拥有保留规则或 DLP 规则相关权限，否则他们将看不到这些规则。有关详情，请参阅分类标签管理员使用入门。

数据泄露防护 (DLP)

授予服务设置权限时仅会自动选中查看 DLP 规则权限。

DLP 权限：

• 查看 DLP 规则：管理员可以查看，但不能修改或创建 DLP 规则。
• 管理 DLP 规则：管理员可以查看、修改及创建 DLP 规则。

您必须同时启用这两种权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。

数据区域

授予服务设置权限时不会自动选中此权限。

数据区域权限：

• “数据区域”设置 - 管理员可以使用数据区域政策，选择将数据区域政策涵盖的数据存储在特定地理位置。有关详情，请参阅“数据区域：为数据选择地理位置”。
• 数据区域报告 - 管理员可以查看数据从一个区域迁移到另一个区域的进度。如需了解详情，请参阅查看数据区域的迁移进度。

数据安全

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以管理其组织的情境感知访问权限政策。管理员可以根据用户的具体情况（例如他们的位置，或者他们的设备是否符合本组织的政策）控制他们可以访问哪些应用。

数据安全管理权限：

• 访问权限级别管理：管理员可以创建访问权限级别。
• 规则管理：管理员可以启用或停用情境感知访问权限，并为应用分配访问权限级别。

“Google 网页目录”设置

Directory Sync

云端硬盘和文档

授予服务设置权限时会自动选中此权限。

Google 云端硬盘和 Google 文档管理权限：

• 设置：管理员可以管理贵组织的云端硬盘和文档服务的所有设置。您需要有此特权、“数据传输”特权和“用户：只读”特权，才能转移云端硬盘文件的所有权。有关详情，请参阅将云端硬盘文件转移给新的所有者。
• 文档模板：管理员可以在文档、表格、幻灯片和表单模板库中移除模板和将模板重新分类，还可以在管理控制台中的云端硬盘和文档部分执行此操作。当管理控制台中的模板提交设置被设为需审核时，管理员就可以接受或拒绝提交的模板。当提交设置被设为受限时，管理员可以向模板库中添加模板。有关详情，请参阅创建自定义云端硬盘模板。
• 将任何文件或文件夹移至共享云端硬盘：管理员可以将文件和文件夹移至贵组织的共享云端硬盘。不过，管理员无法将文件和文件夹从一个共享云端硬盘移至另一个共享云端硬盘。详细了解共享云端硬盘访问权限级别。
• 管理标签 - 已弃用，并已替换为 Manage Classification Labels privilege（管理分类标签特权）。
• 查看 Google 协作平台的详细信息：管理员可以确定网站的所有者、查看网站上一次的发布日期，以及请求网站的编辑权限。

Gemini

Gmail

授予服务设置权限时仅会自动选中设置权限。

Gmail 管理权限：

• 设置：管理贵组织的所有 Gmail 设置。
• 电子邮件日志搜索：搜索日志、排查递送问题，以及调查与电子邮件相关的安全问题。
• 访问管理员隔离区：访问和管理所有隔离区（包括默认隔离区）中的电子邮件。
• 访问受限的隔离区：只能访问和管理与管理员所属群组关联的隔离区中的电子邮件。

Google Chat

Google 云打印

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以为组织设置和管理 Google 云打印服务，包括通过以下设备或服务执行的打印：

• Chrome 设备以及 Windows、Mac 和 Linux 计算机上的 Chrome 浏览器
• 移动版 Google Workspace 服务，例如 Gmail
• 第三方原生移动应用

有关详情，请参阅打印 Chrome 中的内容。

Google Meet

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以执行以下操作：

• 管理设置
• 访问 Google Meet 的质量信息中心。有关详情，请参阅跟踪会议质量和统计信息。

Google Meet 设备

除非您的账号拥有至少一个 Google Meet 设备许可或一台注册设备，否则将无法获得此权限。

管理员可以创建用户角色和分配权限，以允许具有不同数据和功能访问权限级别的用户查看和管理 Google Meet 设备。授予对父特权的访问权限也将授予对树中父特权下面的任何嵌套子特权的访问权限。

权限层次结构

• 管理 Google Meet 设备和日历
  • 管理 Google Meet 设备
    • 管理设备
      • 查看设备
    • 管理组织部门设置
      • 查看组织部门设置
    • 执行操作
      • 执行设备命令
      • 管理设备会议
    • 取消预配 Google Meet 设备
  • 管理日历分配
• 注册 Google Meet 设备

详细说明

• 管理 Google Meet 设备和日历 - 管理员可完全访问所有可用的 Meet 硬件设备数据和功能，但不包括“注册 Google Meet 设备”权限。
  限制：在某些情况下，通过群组角色分配来分配此权限时，群组成员可能无法获得已分配角色的所有特权。有关详情，请参阅为群组分配角色。
• 管理 Google Meet 设备 - 管理员可以访问所有可用的 Meet 设备数据和功能，但不能注册 Google Meet 设备，也不能管理日历分配。
• 管理设备 - 管理员可以修改除日历分配以外的所有单个设备设置，还可以授予查看设备特权。
• 查看设备 - 管理员可以只读方式访问设备数据，包括问题历史记录和导出设备群数据功能；需要此权限才能访问许多其他权限（包括“管理日历分配”“执行操作”及其子权限，以及“取消配置 Google Meet 设备”）所托管的功能页面。
• 管理组织部门设置 - 管理员可以修改组织部门级别控制的 Google Meet 设备设置，还可以在组织部门之间移动设备。
• 查看组织部门设置 - 管理员可以查看组织部门级别控制的 Google Meet 设备设置。
• 执行操作 - 管理员可以执行两项子特权中的任何操作：管理设备会议和执行设备命令。
• 管理设备会议 - 管理员可以远程连接到会议，并将正在进行的通话静音或挂断。
• 执行设备命令 - 管理员可以重启设备或触发诊断测试。
• 取消配置 Google Meet 设备 - 管理员可以取消注册设备，使其数据被删除并使其许可被收回。
• 管理日历分配 - 管理员可以为设备分配个人日历或会议室日历。
• 注册 Google Meet 设备 - 与“需要注册”特权政策搭配使用。启用此政策后，只有拥有此权限的用户才能在贵组织注册新的 Meet 设备。有关详情，请参阅注册设备。

注意：管理员目前无法将这些特权授予特定组织部门中的设备。

Google Vault

授予服务设置权限时不会自动选中此权限。

管理员可以查看所有诉讼或调查，以及管理诉讼或调查、保全、搜索、导出、保留政策和审核。有关详情，请参阅了解和授予保险柜权限。

Google Workspace Marketplace

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以控制用户可以从 Marketplace 安装哪些第三方应用或内部应用，并可选择以下选项：

• 允许用户安装和运行 Marketplace 中的任何应用
• 仅允许用户安装和运行 Marketplace 中的所选应用
• 不允许用户安装和运行 Marketplace 中的应用

  如需详细了解用户对 Marketplace 中应用的访问权限，请参阅管理许可名单上的 Marketplace 中的应用。

群组企业版

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以读取和修改 Google 群组企业版的设置，包括：

• 哪些人可以创建群组。
• 贵组织以外的人员是否可以查看、搜索您的群组，以及在群组中发帖。
• 哪些人员默认设为可查看群组中的会话。

Looker Studio

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以管理 Looker Studio 设置，包括查看、共享和自定义信息中心和报告。详细了解 Looker Studio。

Managed Google Play

授予服务设置权限时不会自动选中此权限。

此权限的英文名称有“Managed Google Play”和“Google Managed Play”两种写法，对应的中文均为“Google Play 企业版”。拥有此权限的管理员可以执行以下操作：

• 将 Android 应用分发给内部用户。
• 将私有应用上传到 Google Play 商店。
• 使用非 Google Play 托管的 Android 应用包 (APK)。

移动设备管理

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员对于管理控制台中列出的设备拥有完全控制权限，并且可以执行以下操作：

• 管理设备设置和政策。
• 执行所有管理操作，例如批准、屏蔽、删除和擦除设备。
• 发布和管理移动应用。

密码保险柜

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以设置和管理密码受保管的应用。

相关主题

• 开始使用密码受保管的应用
• 为密码受保管的应用服务分配管理员权限

精确定位

授予服务设置权限时会自动选中此权限。

拥有 Pinpoint 权限的管理员可以为用户启用或停用此服务，还可以设置用户是否可以将文件从 Google 云端硬盘复制到 Pinpoint。

安全 LDAP

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以管理安全 LDAP 服务及添加或删除 LDAP 客户端。了解详情

重要提示：安全 LDAP 服务仅供拥有超级用户权限的管理员使用，因此超级用户无法将“安全 LDAP”权限分配给委派管理员。当为您的用户设置管理员角色时，请忽略此设置。

安全中心

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以查看详尽的安全信息和分析结果，并且能更好地了解和控制影响其组织的安全问题。

超级用户会自动获得所有安全中心功能（包括安全信息中心、“安全性”页面和调查工具）的访问权限。您可以向管理员授予特定安全中心功能（例如，仅安全信息中心）的访问权限，方法就是仅授予他们访问相应功能所需的管理员权限。

相关主题

• 访问安全中心所需的管理员权限
• 使用安全信息中心
• 开始使用“安全性”页面
• 关于安全调查工具

共享设备设置

授予服务设置权限时不会自动选中此权限。

拥有此权限的管理员可以管理所有常规的设备配置。他们可以为移动设备、Chrome 和 Chromebox 会易设备设置虚拟专用网 (VPN)、Wi-Fi 和以太网。

协作平台

存储

信任规则

用于管理云端硬盘共享设置的信任规则权限：

• 查看信任规则：管理员可以读取“规则”列表中的信任规则列表。如需查看规则设置的详细信息，管理员还需要拥有组织部门 读取权限。
• 管理信任规则：如果只拥有此权限，管理员无法访问管理控制台中的任何设置。如要管理信任规则，管理员需要具备以下权限：
  • 如要启用或停用信任规则，管理员需要拥有管理信任规则和云端硬盘和文档设置权限。
  • 如要创建、修改或删除信任规则，管理员需要拥有查看信任规则、管理信任规则、云端硬盘和文档 设置、群组 读取和组织部门 读取权限。
  • 如要删除信任规则，管理员需要拥有查看信任规则、管理信任规则和云端硬盘和文档 “设置”权限。

数字化转型洞察

授予服务设置权限时不会自动选中此权限。

管理员可以访问数字化转型洞察信息中心中的数据。您只能查看已启用了数字化转型洞察的团队的数据。

您可以允许用户查看已启用此服务的所有团队或特定团队的数据，包括组织部门、获批的群组，以及主管的下属团队。

相关主题

• 控制数字化转型洞察中可用的数据
• 授予对数字化转型洞察的访问权限

YouTube

授予服务设置权限时会自动选中此权限。

拥有此权限的管理员可以执行以下操作：

• 限制贵组织中的用户可以观看的 YouTube 视频。
• 为不同组织部门设置不同的 YouTube 访问权限级别（“严格受限”“中等受限”“不受限制”）。

有关详情，请参阅管理贵组织的 YouTube 设置。