Integrierte Microsoft Entra-Rollen
Wenn in Microsoft Entra ID ein anderer Administrator oder ein Nichtadministrator Microsoft Entra-Ressourcen verwalten muss, weisen Sie ihm eine Microsoft Entra-Rolle zu, die die benötigten Berechtigungen bereitstellt. Beispielsweise können Sie Rollen zuweisen, die das Hinzufügen oder Ändern von Benutzern, das Zurücksetzen von Benutzerkennwörtern, das Verwalten von Benutzerlizenzen oder das Verwalten von Domänennamen erlauben.
In diesem Artikel werden die in Microsoft Entra integrierten Rollen aufgeführt, die Sie zuweisen können, um die Verwaltung von Microsoft Entra-Ressourcen zu ermöglichen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Microsoft Entra-Rollen zu Benutzern. Wenn Sie nach Rollen zum Verwalten von Azure-Ressourcen suchen, finden Sie weitere Informationen unter Integrierte Azure-Rollen.
Alle Rollen
Rolle | BESCHREIBUNG | Vorlagen-ID |
---|---|---|
KI-Administrator | Verwalten Sie alle Aspekte von Microsoft 365 Copilot- und KI-bezogenen Unternehmensdiensten in Microsoft 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Anwendungsadministrator | Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Anwendungsentwickler | Erstellen von Anwendungsregistrierungen unabhängig von der Einstellung „Benutzer können Anwendungen registrieren“. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor der Angriffsnutzdaten | Kann Angriffsnutzdaten erstellen, die ein Administrator später initiieren kann. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Administrator für Angriffssimulation | Kann alle Aspekte von Angriffssimulationskampagnen erstellen und verwalten. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Administrator für Attributzuweisungen | Zuweisen von benutzerdefinierten Sicherheitsattributschlüsseln und -werten zu unterstützten Microsoft Entra-Objekten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Leser für Attributzuweisungen | Lesen benutzerdefinierter Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Administrator für Attributdefinitionen | Definieren und Verwalten der Definition von benutzerdefinierten Sicherheitsattributen. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Leser für Attributdefinitionen | Lesen der Definition von benutzerdefinierten Sicherheitsattributen. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Attributprotokolladministrator | Lesen von Überwachungsprotokollen und Konfigurieren von Diagnoseeinstellungen für Ereignisse im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Attributprotokollleser | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Attributbereitstellungsadministrator | Hinzufügen oder Entfernen von benutzerdefinierten Sicherheitsattributen in der Quelle zur Zielattributezuordnung. |
ecb2c6bf-0ab6-418e-bd87-7986f8d63bbe |
Attributbereitstellungsleser- | Benutzerdefinierte Sicherheitsattribute lesen, die für Benutzerobjekte definiert sind. | 422218e4-db15-4ef9-bbe0-8afb41546d79 |
Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Administrator für die Authentifizierungserweiterbarkeit | Passen Sie die Anmelde- und Registrierungserfahrungen für Benutzer an, indem Sie benutzerdefinierte Authentifizierungserweiterungen erstellen und verwalten. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Authentifizierungsrichtlinienadministrator | Kann die Authentifizierungsmethodenrichtlinie, mandantenweite MFA-Einstellungen, die Kennwortschutzrichtlinie und überprüfbare Anmeldeinformationen erstellen und verwalten. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Azure DevOps-Administrator | Kann Azure DevOps-Richtlinien und -Einstellungen verwalten. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Azure Information Protection-Administrator | Verwalten sämtlicher Aspekte des Produkts Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
B2C-IEF-Schlüsselsatzadministrator | Kann Geheimnisse für Verbund und Verschlüsselung im Identity Experience Framework (IEF) verwalten. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
B2C-IEF-Richtlinienadministrator | Kann Vertrauensframeworkrichtlinien im Identity Experience Framework (IEF) erstellen und verwalten. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Rechnungsadministrator | Ausführen von allgemeinen Abrechnungsaufgaben wie der Aktualisierung der Zahlungsinformationen. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Cloud App Security-Administrator | Kann alle Aspekte des Produkts Defender for Cloud Apps verwalten. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Cloudanwendungsadministrator | Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer App-Proxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Cloudgeräteadministrator | Eingeschränkter Zugriff zum Verwalten von Geräten in Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Complianceadministrator | Kann die Konformitätskonfiguration und Berichte in Microsoft Entra ID und Microsoft 365 lesen. | 17315797-102d-40b4-93e0-432062caca18 |
Compliancedatenadministrator | Erstellt und verwaltet Complianceinhalte. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Administrator für bedingten Zugriff | Verwalten von Funktionen zum bedingten Zugriff. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Genehmigende Person für den LockBox-Kundenzugriff | Kann Microsoft-Supportanfragen zum Zugriff auf Benutzerorganisationsdaten genehmigen. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Desktop Analytics-Administrator | Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Verzeichnisleseberechtigte | Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
Verzeichnissynchronisierungskonten | Wird nur vom Microsoft Entra Connect-Dienst verwendet. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Verzeichnisschreibberechtigte | Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Domänennamenadministrator | Verwalten von Domänennamen lokal und in der Cloud. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365-Administrator | Verwalten sämtlicher Aspekte des Produkts Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central-Administrator | Zugreifen und Ausführen aller administrativen Aufgaben auf Dynamics 365 Business Central-Umgebungen. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Edgeadministrator | Verwalten sämtlicher Aspekte von Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Exchange-Administrator | Verwalten sämtlicher Aspekte des Produkts Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Administrator für Exchange-Empfänger | Erstellen oder Aktualisieren von Exchange Online-Empfängern in der Exchange Online-Organisation. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Administrator für Benutzerflows mit externer ID | Kann alle Aspekte von Benutzerflows erstellen und verwalten. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Administrator für Benutzerflowattribute mit externer ID | Kann das für alle Benutzerflows verfügbare Attributschema erstellen und verwalten. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Externer Identitätsanbieteradministrator | Kann Identitätsanbieter für die Verwendung in einem direkten Verbund konfigurieren. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Fabric-Administrator | Verwalten sämtlicher Aspekte der Produkte Fabric und Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Globaler Administrator | Kann alle Aspekte von Microsoft Entra-ID und Microsoft-Diensten verwalten, die Microsoft Entra-Identitäten verwenden. |
62e90394-69f5-4237-9190-012177145e10 |
Globaler Leser | Hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Global Secure Access-Administrator | Erstellen und verwalten Sie alle Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs, einschließlich der Verwaltung des Zugriffs auf öffentliche und private Endpunkte. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Gruppenadministrator | Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Gasteinladender | Einladen von Gastbenutzernunabhängig von der Einstellung „Mitglieder können Gäste einladen“. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Helpdeskadministrator | Zurücksetzen von Kennwörtern für Nicht-Administratoren und Helpdeskadministratoren. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Hybrididentitätsadministrator | Verwalten von Active Directory in Microsoft Entra-Cloudbereitstellung, Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Anmelden (Seamless SSO) und Verbundeinstellungen. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Identity Governance-Administrator | Verwalten des Zugriffs mithilfe von Microsoft Entra ID für Identitätsgovernanceszenarien. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Insights Administrator | Administratorzugriff in der Microsoft 365 Insights-App. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Insights-Analyst | Greifen Sie auf die Analysefunktionen in Microsoft Viva Insights zu, und führen Sie benutzerdefinierte Abfragen aus. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Insights Business Leader | Kann Dashboards und Erkenntnisse über die Microsoft 365 Insights-App anzeigen und freigeben. | 31e939ad-9672-4796-9c2e-873181342d2d |
Intune-Administrator | Verwalten sämtlicher Aspekte des Produkts Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala-Administrator | Kann Einstellungen für Microsoft Kaizala verwalten. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Wissensadministrator | Kann Wissens-, Lern- und andere intelligente Features konfigurieren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Wissens-Manager | Kann Themen und Wissen organisieren, erstellen, verwalten und bewerben. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Lizenzadministrator | Kann Produktlizenzen für Benutzer und Gruppen verwalten. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Lebenszyklus-Workflowadministrator | Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Nachrichtencenter-Datenschutzleseberechtigter | Kann Sicherheitsnachrichten und -updates nur im Office 365-Nachrichtencenter lesen. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Nachrichtencenter-Leseberechtigter | Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Microsoft 365-Migrationsadministrator*in | Führen Sie alle Migrationsfunktionen aus, um Inhalte mithilfe des Migrations-Managers zu Microsoft 365 zu migrieren. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Lokaler Administrator des in Microsoft Entra eingebundenen Geräts | Benutzer, die dieser Rolle zugewiesen wurden, werden der lokalen Administratorgruppe auf in Microsoft Entra eingebundenen Geräten hinzugefügt. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Microsoft-Hardwaregarantieadministrator | Erstellen und Verwalten von Garantieansprüchen und -berechtigungen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Microsoft Hardware Warranty Specialist | Erstellen und Lesen von Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Moderner Commerceadministrator | Kann kommerzielle Käufe für ein Unternehmen, eine Abteilung oder ein Team verwalten. | d24aef57-1500-4070-84db-2666f29cf966 |
Netzwerkadministrator | Verwalten von Netzwerkstandorten und überprüfen von Erkenntnissen zum Entwurf des Unternehmensnetzwerks für Microsoft 365-SaaS-Anwendungen (Software-as-a-Service). | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Office-Apps-Administrator | Kann Clouddienste für Office-Apps (einschließlich Richtlinien- und Einstellungsverwaltung) sowie Funktionen zum Auswählen, Aufheben der Auswahl und Veröffentlichen von Inhalten zu neuen Features auf Endbenutzergeräten verwalten. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Organisationsbrandingadministrator | Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Genehmigende Person für Organisationsnachrichten | Überprüfen, Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center, bevor sie an Benutzer gesendet werden | e48398e2-f4bb-4074-8f31-4586725e205b |
Schreiber für Organisationsnachrichten | Schreiben, Veröffentlichen, Verwalten und Überprüfen von Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Partnersupport der Ebene 1 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Partnersupport der Ebene 2 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Kennwortadministrator | Kann Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Berechtigungsverwaltungsadministrator | Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Power Platform-Administrator | Kann alle Aspekte von Microsoft Dynamics 365, Power Apps und Power Automate erstellen und verwalten. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Druckeradministrator | Verwalten sämtlicher Aspekte von Druckern und Druckerconnectors. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Druckertechniker | Registrieren von Druckern, Aufheben ihrer Registrierung und Aktualisieren des Druckerstatus. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Privilegierter Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Administrator für privilegierte Rollen | Kann Rollenzuweisungen in Microsoft Entra ID sowie sämtliche Aspekte von Privileged Identity Management (PIM) verwalten. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Berichtleseberechtigter | Lesen von Anmeldungs- und Überwachungsberichten. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Suchadministrator | Kann alle Aspekte der Microsoft Search-Einstellungen erstellen und verwalten. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Such-Editor | Kann redaktionelle Inhalte wie Lesezeichen, Fragen und Antworten, Standorte und Grundrisse erstellen und verwalten. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Sicherheitsadministrator | Kann Sicherheitsinformationen und -berichte lesen und die Konfiguration in Microsoft Entra ID und Office 365 verwalten. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Sicherheitsoperator | Erstellt und verwaltet Sicherheitsereignisse. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Sicherheitsleseberechtigter | Lesen von Sicherheitsinformationen und Berichten in Microsoft Entra ID und Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Dienstsupportadministrator | Lesen von Service Health-Informationen und Verwalten von Supporttickets. | f023fd81-a637-4b56-95fd-791ac0226033 |
SharePoint-Administrator | Verwalten sämtlicher Aspekte des SharePoint-Diensts. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
SharePoint Embedded-Administrator | Verwalten aller Aspekte von eingebetteten SharePoint-Containern. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Skype for Business-Administrator | Verwalten sämtlicher Aspekte des Produkts Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
Teams-Administrator | Kann den Microsoft Teams-Dienst verwalten. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Teams-Kommunikationsadministrator | Kann Anruf- und Besprechungsfunktionen im Microsoft Teams-Dienst verwalten. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Supporttechniker für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von erweiterten Tools behandeln. | f70938a0-fc10-4177-9e90-2178f8765737 |
Supportfachmann für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von allgemeinen Tools behandeln. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Teams-Geräteadministrator | Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Teams-Telefonieadministrator | Verwalten Sie Sprach- und Telefoniefunktionen, und behandeln Sie Kommunikationsprobleme innerhalb des Microsoft Teams-Diensts. | aa38014f-0993-46e9-9b45-30501a20909d |
Mandantenersteller | Erstellen neuer Microsoft Entra ID- oder Azure AD B2C-Mandanten. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Leseberechtigter für Berichte mit Nutzungszusammenfassung | Lesen von Nutzungsberichten und Einführungsbewertung, aber kein Zugriff auf Benutzerdetails. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Benutzeradministrator | Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Erfolgsmanager für das Benutzererlebnis | Zeigen Sie Produktfeedback, Umfrageergebnisse und Berichte an, um Trainings- und Kommunikationsmöglichkeiten zu finden. | 27460883-1df1-4691-b032-3b79643e5e63 |
Administrator für virtuelle Besuche | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Besuche. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals-Administrator | Verwalten und konfigurieren Sie alle Aspekte von Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse-Administrator | Kann alle Einstellungen für Microsoft Viva Pulse App verwalten. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365-Administrator | Kann alle Aspekte von Cloud-PCs bereitstellen und verwalten. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Windows Update-Bereitstellungsadministrator | Kann alle Aspekte der Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Yammer-Administrator | Verwalten Sie alle Aspekte des Yammer-Diensts. | 810a2642-a034-447f-a5e8-41beaa378541 |
KI-Administrator
Weisen Sie die KI-Administratorrolle Benutzern zu, die die folgenden Aufgaben ausführen müssen:
- Verwalten aller Aspekte von Microsoft 365 Copilot
- Verwalten von KI-bezogenen Unternehmensdiensten, Erweiterbarkeit und Copilot-Agents über die Seite "Integrierte Apps" im Microsoft 365 Admin Center
- Genehmigen und Veröffentlichen von Geschäftsbereichs-Copilot-Agents
- Zulassen, dass Benutzer eine App installieren oder eine App für Benutzer in der Organisation installieren können, wenn die App keine Berechtigung benötigt
- Lesen und Konfigurieren von Azure- und Microsoft 365-Dienstintegritätsdashboards
- Anzeigen von Nutzungsberichten, Einführungserkenntnissen und Organisationseinblicken
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Erstellen und Verwalten aller Einstellungen für Microsoft 365 Copilot |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Anwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Beachten Sie, dass Benutzer, denen diese Rolle zugewiesen wurde, bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt werden.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein Admin für privilegiertere Rollen) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
Anwendungsentwickler
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Anwendungsregistrierungen erstellen, wenn die Einstellung „Benutzer können Anwendungen registrieren“ auf „Nein“ festgelegt ist. Diese Rolle ermöglicht auch die Berechtigung, im eigenen Namen zuzustimmen, wenn die Einstellung „Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen“ auf „Nein“ festgelegt ist. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen als Besitzer hinzugefügt.
Autor der Angriffsnutzdaten
Benutzer in dieser Rolle können Angriffsnutzdaten erstellen, diese jedoch nicht tatsächlich starten oder planen. Die Angriffsnutzdaten stehen dann allen Administratoren im Mandanten zur Verfügung und können von diesen zum Erstellen einer Simulation verwendet werden.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
Administrator für Angriffssimulation
Benutzer mit dieser Rolle können alle Aspekte der Angriffssimulationserstellung, des Starts und der Planung einer Simulation und der Überprüfung der Simulationsergebnisse erstellen und verwalten. Mitglieder dieser Rolle besitzen diesen Zugriff für alle Simulationen im Mandanten.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator |
Administrator für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte wie Benutzer, Dienstprinzipale und Geräte zuweisen und entfernen.
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualisieren von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
microsoft.directory/devices/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Geräte |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
microsoft.directory/users/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Leser für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte lesen.
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Administrator für Attributdefinitionen
Benutzer mit dieser Rolle können gültige benutzerdefinierte Sicherheitsattribute definieren, die unterstützten Microsoft Entra-Objekten zugewiesen werden können. Diese Rolle kann auch benutzerdefinierte Sicherheitsattribute aktivieren und deaktivieren.
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Verwalten aller Aspekte von Attributsätzen |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Verwalten aller Aspekte von benutzerdefinierten Sicherheitsattributdefinitionen |
Leser für Attributdefinitionen
Benutzer mit dieser Rolle können die Definition von benutzerdefinierten Sicherheitsattributen lesen.
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
Attributprotokolladministrator
Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
- Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute
- Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute
Benutzer mit dieser Rolle können Überwachungsprotokolle für andere Ereignisse nicht lesen.
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Konfigurieren aller Aspekte der Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen |
Attributprotokollleser
Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
- Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute
- Lesen von Überwachungsprotokollen für andere Ereignisse
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen |
Attributbereitstellungsadministrator
Benutzer, denen diese Rolle zugewiesen wurde, können beim Konfigurieren von Benutzerbereitstellungs-/Synchronisierungsflüssen in Microsoft Entra die folgenden Vorgänge ausführen:
- Lesen und Schreiben von Attributzuordnungen für benutzerdefinierte Sicherheitsattribute beim Bereitstellen in einer Anwendung
- Lesen und Schreiben von Bereitstellungs- und Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute bei der Bereitstellung in einer Anwendung
Wichtig
Diese Rolle verfügt nicht über die Möglichkeit, benutzerdefinierte Sicherheitsattributesätze zu erstellen oder benutzerdefinierte Sicherheitsattributewerte für das Benutzerobjekt direkt zuzuweisen oder zu aktualisieren. Diese Rolle kann nur den Fluss der benutzerdefinierten Sicherheitsattribute in der Bereitstellungs-App konfigurieren. Weitere Informationen finden Sie unter Bereitstellen von benutzerdefinierten Sicherheitsattributen aus HR-Quellen (Vorschau).
Attributbereitstellungsleser
Benutzer, denen diese Rolle zugewiesen wurde, können beim Arbeiten mit Benutzerbereitstellungs-/Synchronisierungsflüssen in Microsoft Entra die folgenden Vorgänge ausführen:
- Lesen der Attributzuordnungen für benutzerdefinierte Sicherheitsattribute bei der Bereitstellung in einer Anwendung
- Lesen der Bereitstellungs- und Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute bei der Bereitstellung in einer Anwendung
Weitere Informationen finden Sie unter Bereitstellen von benutzerdefinierten Sicherheitsattributen aus HR-Quellen (Vorschau).
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read | Alle benutzerdefinierten Sicherheitsattribute im Synchronisierungsschema lesen |
Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für Nicht-Administratoren und einige andere Rollen. Eine Liste der Rollen, die ein Authentifizierungsadministrator lesen oder deren Authentifizierungsmethoden er aktualisieren kann, finden Sie unter Berechtigungen für die Kennwortzurücksetzung.
- Auffordern von Benutzern, die keine Administratoren sind oder die Rollen zugewiesen sind, ihre vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) erneut zu registrieren, und sie können auch Speichern der MFA auf dem Gerät widerrufen. Dann werden Benutzer bei der nächsten Anmeldung zur Eingabe ihrer MFA-Anmeldeinformationen aufgefordert.
- MFA-Einstellungen werden im Legacy-MFA-Verwaltungsportal verwaltet.
- Durchführen vertraulicher Aktionen für einige Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Hardware-OATH-Token können nicht verwaltet werden.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
Rolle | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
---|---|---|---|---|---|---|---|
Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Ja | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nr. | Nr. | Nr. | Ja, für alle Benutzer | Ja, für alle Benutzer |
Authentifizierungsrichtlinienadministrator | Nr. | Ja | Ja | Ja | Ja | Nr. | Nr. |
Benutzeradministrator | Nr. | Nr. | Nr. | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Administrator für die Authentifizierungserweiterbarkeit
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, welche die folgenden Aufgaben ausführen müssen, die Rolle „Administrator für die Authentifizierungserweiterbarkeit“ zu:
- Erstellen und Verwalten aller Aspekte von benutzerdefinierten Authentifizierungserweiterungen.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Benutzerdefinierte Authentifizierungserweiterungen können Anwendungen nicht zugewiesen werden, um die Authentifizierungserfahrungen zu ändern, und sie können nicht den Anwendungsberechtigungen zustimmen oder App-Registrierungen erstellen, die der benutzerdefinierten Authentifizierungserweiterung zugeordnet sind. Stattdessen müssen Sie die Rollen „Anwendungsadministrator“, „Anwendungsentwickler“ oder „Cloudanwendungsadministrator“ verwenden.
Eine benutzerdefinierte Authentifizierungserweiterung ist ein API-Endpunkt, der von Entwicklern für Authentifizierungsereignisse erstellt und in Microsoft Entra ID registriert wird. Anwendungsadministratoren und Anwendungsbesitzer können benutzerdefinierte Authentifizierungserweiterungen verwenden, um die Authentifizierungserfahrungen ihrer Anwendung anzupassen, z. B. Anmelden und Registrieren oder Kennwortzurücksetzung.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
Authentifizierungsrichtlinienadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsrichtlinienadministrator“ zu:
- Konfigurieren der Authentifizierungsmethodenrichtlinie, von mandantenweite MFA-Einstellungen und der Kennwortschutzrichtlinie, die bestimmen, welche Methoden ein Benutzer registrieren und verwenden kann.
- Verwalten von Kennwortschutzeinstellungen: Smart Lockout-Konfigurationen und Aktualisieren der Liste der benutzerdefinierten gesperrten Kennwörter.
- MFA-Einstellungen werden im Legacy-MFA-Verwaltungsportal verwaltet.
- Erstellen und Verwalten von Nachweisen.
- Erstellen und Verwalten von Azure-Supporttickets
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Aktualisieren vertraulicher Eigenschaften. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Löschen oder Wiederherstellen von Benutzern. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Hardware-OATH-Token können nicht verwaltet werden.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
Rolle | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
---|---|---|---|---|---|---|---|
Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Ja | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nr. | Nr. | Nr. | Ja, für alle Benutzer | Ja, für alle Benutzer |
Authentifizierungsrichtlinienadministrator | Nr. | Ja | Ja | Ja | Ja | Nr. | Nr. |
Benutzeradministrator | Nr. | Nr. | Nr. | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/organization/strongAuthentication/allTasks | Verwalten aller Aspekte von Eigenschaften für eine sichere Authentifizierung in einer Organisation |
microsoft.directory/userCredentialPolicies/basic/update | Aktualisieren grundlegender Richtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/create | Erstellen von Anmeldeinformationsrichtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/delete | Löschen von Anmeldeinformationsrichtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/owners/read | Lesen der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/owners/update | Aktualisieren der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Lesen des Navigationslinks „policy.appliesTo“ |
microsoft.directory/userCredentialPolicies/standard/read | Lesen der Standardeigenschaften von Anmeldeinformationsrichtlinien für Benutzer |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualisieren der policy.isOrganizationDefault-Eigenschaft |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/create | Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
microsoft.directory/verifiableCredentials/configuration/delete | Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen |
Azure DevOps-Administrator
Benutzer mit dieser Rolle können alle Azure DevOps-Unternehmensrichtlinien verwalten, die für alle Azure DevOps-Organisationen gelten, die von Microsoft Entra ID unterstützt werden. Benutzer mit dieser Rolle können diese Richtlinien verwalten, indem sie zu einer Azure DevOps-Organisation navigieren, die von Microsoft Entra ID des Unternehmens unterstützt wird. Darüber hinaus können Benutzer in dieser Rolle den Besitz verwaister Azure DevOps-Organisationen beanspruchen. Diese Rolle gewährt keine anderen Azure DevOps-spezifischen Berechtigungen (z. B. Projektauflistungsadministratoren) in Azure DevOps-Organisationen, die von der Microsoft Entra-Organisation des Unternehmens unterstützt werden.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Lesen und Konfigurieren von Azure DevOps |
Azure Information Protection-Administrator
Benutzer mit dieser Rolle besitzen alle Berechtigungen für den Azure Information Protection-Dienst. Sie können Bezeichnungen für die Azure Information Protection-Richtlinie konfigurieren, Schutzvorlagen verwalten und den Schutz aktivieren. Diese Rolle gewährt keine Berechtigungen für Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-Portal oder das Microsoft Purview-Complianceportal.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
B2C-IEF-Schlüsselsatzadministrator
Dies ist eine privilegierte Rolle. Benutzer können die Richtlinienschlüssel und -geheimnisse für Tokenverschlüsselung, Tokensignaturen und Verschlüsselung/Entschlüsselung von Ansprüchen erstellen und verwalten. Durch das Hinzufügen neuer Schlüssel zu vorhandenen Schlüsselcontainern kann dieser Administrator mit eingeschränkten Rechten bei Bedarf Rollover für Geheimnisse ausführen, ohne dass dies Auswirkungen auf vorhandene Anwendungen hat. Diese Benutzer können den vollständigen Inhalt dieser Geheimnisse und deren Ablaufdaten anzeigen – auch nach deren Erstellung.
Wichtig
Dies ist eine sensible Rolle. Die Administratorrolle für Schlüsselsätze muss sorgfältig überwacht und mit Bedacht für Präproduktion und Produktion zugewiesen werden.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Lesen und Konfigurieren von Schlüsselsätzen in Azure Active Directory B2C |
B2C-IEF-Richtlinienadministrator
Benutzer mit dieser Rolle können alle benutzerdefinierten Richtlinien in Azure AD B2C erstellen, lesen, aktualisieren und löschen und haben daher vollständige Kontrolle über das Identity Experience Framework in der zugehörigen Azure AD B2C-Organisation. Durch das Bearbeiten von Richtlinien können diese Benutzer einen direkten Verbund mit externen Identitätsanbietern einrichten, das Verzeichnisschema und alle benutzerseitigen Inhalte (HTML, CSS, JavaScript) sowie die Anforderungen für das Abschließen einer Authentifizierung ändern, neue Benutzer erstellen, Benutzerdaten an externe Systeme senden (einschließlich einer vollständigen Migration) und alle Benutzerinformationen bearbeiten (einschließlich vertraulicher Felder wie Kennwörter und Telefonnummern). Andererseits kann diese Rolle keine Verschlüsselungsschlüssel ändern oder Geheimnisse für den Verbund in der Organisation bearbeiten.
Wichtig
Der B2-IEF-Richtlinienadministrator ist eine streng vertrauliche Rolle, die nur sehr wenigen Benutzern für Organisationen in der Produktion zugewiesen werden sollte. Aktivitäten dieser Benutzer sollten streng überwacht werden. Dies gilt vor allem für Organisationen in der Produktion.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Lesen und Konfigurieren benutzerdefinierter Richtlinien in Azure Active Directory B2C |
Abrechnungsadministrator
Tätigt Käufe, verwaltet Abonnements und Supporttickets und überwacht die Dienstintegrität.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Office 365-Abrechnung |
microsoft.directory/organization/basic/update | Aktualisieren grundlegender Eigenschaften für Organisationen |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloud App Security-Administrator
Benutzer mit dieser Rolle verfügen über vollständige Berechtigungen für Defender for Cloud-Apps. Sie können Administratoren, Microsoft Defender for Cloud-Apps-Richtlinien und -Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloudanwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben die gleichen Berechtigungen wie die Rolle des Anwendungsadministrators, mit Ausnahme der Möglichkeit, den Anwendungsproxy zu verwalten. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Unternehmensanwendungen und Anwendungsregistrierungen. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein Admin für privilegiertere Rollen) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
Cloudgeräteadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Geräte in Microsoft Entra ID aktivieren, deaktivieren und löschen sowie Windows 10-BitLocker-Schlüssel (falls vorhanden) im Azure-Portal lesen. Die Rolle gewährt keine Berechtigungen für die Verwaltung anderer Eigenschaften auf dem Gerät.
Complianceadministrator
Benutzer mit dieser Rolle verfügen über die Berechtigung zum Verwalten von compliancebezogenen Funktionen im Microsoft Purview-Complianceportal, im Microsoft 365 Admin Center, in Azure und im Microsoft 365 Defender-Portal. Zugewiesene Personen können auch alle Features im Exchange Admin Center verwalten und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Geben Sie in | Möglich |
---|---|
Grundlegendes zum Microsoft Purview-Complianceportal | Schützen und Verwalten Ihrer Organisationsdaten für Microsoft 365-Dienste Verwalten von Konformitätwarnungen |
Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Complianceadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
Intune | Anzeigen aller Intune-Überwachungsdaten |
Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/entitlementManagement/allProperties/read | Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Konformitätsdaten
Benutzer mit dieser Rolle verfügen über Berechtigungen zum Nachverfolgen von Daten im Microsoft Purview Compliance Center, Microsoft 365 Admin Center und in Azure. Die Benutzer können auch Compliancedaten im Exchange Admin Center, in Compliance-Manager sowie im Teams und Skype for Business Admin Center nachverfolgen und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen zu den Unterschieden zwischen Complianceadministrator und Compliancedatenadministrator finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Konformität.
Geben Sie in | Möglich |
---|---|
Grundlegendes zum Microsoft Purview-Complianceportal | Überwachen von compliancerelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Konformitätwarnungen |
Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Compliancedatenadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
Intune | Anzeigen aller Intune-Überwachungsdaten |
Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für den bedingten Zugriff
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Microsoft Entra ID-Einstellungen für den bedingten Zugriff verwalten.
Genehmigende Person für den LockBox-Kundenzugriff
Verwaltet Microsoft Purview-Kunden-Lockbox-Anforderungen in Ihrer Organisation. Sie erhalten E-Mail-Benachrichtigungen für Kunden-Lockbox-Anforderungen und können Anforderungen über das Microsoft 365 Admin Center genehmigen und ablehnen. Außerdem können sie das Feature Kunden-Lockbox aktivieren und deaktivieren. Nur globale Administratoren können die Kennwörter von Personen zurücksetzen, die dieser Rolle zugewiesen sind.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Verwalten sämtlicher Aspekte der Kunden-Lockbox |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Desktop Analytics-Administrator
Benutzer in dieser Rolle können den Desktop Analytics-Dienst verwalten. Dies umfasst die Möglichkeit zum Anzeigen des Assetbestands, Erstellen von Bereitstellungsplänen sowie zum Anzeigen des Bereitstellungs- und Integritätsstatus.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Verwalten sämtlicher Aspekte von Desktop Analytics |
Rolle „Verzeichnis lesen“
Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen. Diese Rolle sollte für folgende Zwecke verwendet werden:
- Gewähren von Lesezugriff für eine bestimmte Gruppe von Gastbenutzern statt für alle Gastbenutzer.
- Gewähren des Zugriffs auf das Entra Portal für bestimmte Benutzende, die keine Admins sind, wenn „Zugriff auf das Microsoft Entra Admin Center einschränken“ auf „Ja“ festgelegt ist.
- Gewähren von Zugriff auf das Verzeichnis für Dienstprinzipale, wenn „Directory.Read.All“ keine Option darstellt.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/administrativeUnits/members/read | Lesen der Mitglieder von Verwaltungseinheiten |
microsoft.directory/administrativeUnits/standard/read | Lesen grundlegender Eigenschaften für Verwaltungseinheiten |
microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
microsoft.directory/contacts/memberOf/read | Lesen der Gruppenmitgliedschaft für alle Kontakte in Microsoft Entra ID |
microsoft.directory/contacts/standard/read | Lesen grundlegender Eigenschaften von Kontakten in Microsoft Entra ID |
microsoft.directory/contracts/standard/read | Lesen grundlegender Eigenschaften für Partnerverträge |
microsoft.directory/devices/memberOf/read | Lesen von Gerätemitgliedschaften |
microsoft.directory/devices/registeredOwners/read | Lesen von registrierten Besitzern von Geräten |
microsoft.directory/devices/registeredUsers/read | Lesen von registrierten Benutzern von Geräten |
microsoft.directory/devices/standard/read | Lesen grundlegender Eigenschaften für Geräte |
microsoft.directory/directoryRoles/eligibleMembers/read | Lesen der berechtigten Mitglieder von Microsoft Entra-Rollen. |
microsoft.directory/directoryRoles/members/read | Lesen aller Mitglieder von Microsoft Entra-Rollen |
microsoft.directory/directoryRoles/standard/read | Lesen Sie grundlegende Eigenschaften von Microsoft Entra-Rollen |
microsoft.directory/domains/standard/read | Lesen grundlegender Eigenschaften für Domänen |
microsoft.directory/groups/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen von Gruppen |
microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
microsoft.directory/groups/memberOf/read | Lesen der memberOf-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/members/read | Lesen der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/owners/read | Lesen der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/settings/read | Lesen der Einstellungen von Gruppen |
microsoft.directory/groups/standard/read | Lesen der Standardeigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/oAuth2PermissionGrants/standard/read | Lesen grundlegender Eigenschaften für OAuth 2.0-Berechtigungszuweisungen |
microsoft.directory/organization/standard/read | Lesen grundlegender Eigenschaften für Organisationen |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Lesen von vertrauenswürdigen Zertifizierungsstellen für die kennwortlose Authentifizierung |
microsoft.directory/roleAssignments/standard/read | Lesen grundlegender Eigenschaften für Rollenzuweisungen |
microsoft.directory/roleDefinitions/standard/read | Lesen grundlegender Eigenschaften für Rollendefinitionen |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
microsoft.directory/servicePrincipals/memberOf/read | Lesen von Gruppenmitgliedschaften für Dienstprinzipale |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
microsoft.directory/servicePrincipals/ownedObjects/read | Lesen der Objekte im Besitz von Dienstprinzipalen |
microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
microsoft.directory/users/invitedBy/read | Lesen des Benutzers, der einen externen Benutzer zu einem Mandanten eingeladen hat |
microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist |
microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
Verzeichnissynchronisierungskonten
Nicht verwenden.. Diese Rolle wird automatisch dem Microsoft Entra Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Lesen und Verwalten von Objekten, um die Synchronisierung von Verzeichnissen vor Ort zu ermöglichen |
Verzeichnisschreibberechtigte
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können grundlegende Informationen von Benutzern, Gruppen und Dienstprinzipalen lesen und aktualisieren.
Domänennamenadministrator
Dies ist eine privilegierte Rolle. Benutzer*innen mit dieser Rolle können Domänennamen verwalten (lesen, hinzufügen, überprüfen, aktualisieren und löschen). Sie können auch Verzeichnisinformationen zu Benutzern, Gruppen und Anwendungen lesen, da diese Objekte Domänenabhängigkeiten besitzen. Bei lokalen Umgebungen können Benutzer mit dieser Rolle Domänennamen für den Verbund konfigurieren, sodass zugeordnete Benutzer immer lokal authentifiziert werden. Diese Benutzer können sich dann über einmaliges Anmelden (Single Sign-On, SSO) bei Microsoft Entra-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Verbundeinstellungen müssen über Microsoft Entra Connect synchronisiert werden, damit Benutzer auch über Berechtigungen zum Verwalten von Microsoft Entra Connect verfügen.
Dynamics 365-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Dynamics 365 Online, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Verwenden von Dienstadministratorrollen zum Verwalten Ihres Mandanten.
Hinweis
In der Microsoft Graph-API und in Microsoft Graph PowerShell wird diese Rolle als „Dynamics 365-Dienstadmin“ bezeichnet. Im Azure-Portal lautet sie „Dynamics 365-Administrator“.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dynamics 365 Business Central-Administrator
Weisen Sie die Dynamics 365 Business Central-Administratorrolle Benutzern zu, welche die folgenden Aufgaben ausführen müssen:
- Zugreifen auf Dynamics 365 Business Central-Umgebungen
- Durchführen aller administrativen Aufgaben in Umgebungen
- Verwalten des Lebenszyklus der Umgebungen des Kunden
- Überwachen der auf Umgebungen installierten Erweiterungen
- Steuern von Upgrades für Umgebungen
- Durchführen von Datenexporten in Umgebungen
- Lesen und Konfigurieren von Azure- und Microsoft 365-Dienstintegritätsdashboards
Diese Rolle bietet keine Berechtigungen für andere Dynamics 365-Produkte.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.directory/domains/standard/read | Lesen grundlegender Eigenschaften für Domänen |
microsoft.directory/organization/standard/read | Lesen grundlegender Eigenschaften für Organisationen |
microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Edgeadministrator
Benutzer mit dieser Rolle können die Unternehmenswebsiteliste erstellen und verwalten, die für den Internet Explorer-Modus in Microsoft Edge erforderlich ist. Diese Rolle gewährt Berechtigungen zum Erstellen, Bearbeiten und Veröffentlichen der Websiteliste und ermöglicht darüber hinaus den Zugriff auf die Verwaltung von Supporttickets. Weitere Informationen
Aktionen | BESCHREIBUNG |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Exchange-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst verfügbar ist. Außerdem haben sie die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und Microsoft Graph PowerShell wird diese Rolle als „Exchange-Dienstadmin“ bezeichnet. Im Azure-Portal lautet sie „Exchange-Administrator“. Im Exchange Admin Center lautet sie „Exchange Online-Administrator“.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Erstellen und Verwalten der Exchange Online Protection-Richtlinie in Microsoft 365-Backup |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Wiederherstellungssitzung für Exchange Online in Microsoft 365-Backup lesen und konfigurieren |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Verwalten Sie alle Wiederherstellungspunkte, die mit ausgewählten Exchange Online-Postfächern in M365-Backup verbunden sind |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Verwalten von Postfächern, die der Exchange Online Protection-Richtlinie in Microsoft 365-Backup hinzugefügt wurden |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Verwalten von Postfächern, die der Wiederherstellungssitzung für Exchange Online in Microsoft 365-Backup hinzugefügt wurden |
microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.exchange/allEntities/basic/allTasks | Verwalten sämtlicher Aspekte von Exchange Online |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Exchange-Empfänger
Benutzer mit dieser Rolle haben Lesezugriff auf Empfänger und Schreibzugriff auf die Attribute dieser Empfänger in Exchange Online. Weitere Informationen finden Sie unter Empfänger in Exchange Server.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Verwalten aller Aufgaben im Zusammenhang mit der Migration von Empfängern in Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Erstellen und Löschen aller Empfänger sowie Lesen und Aktualisieren aller Eigenschaften von Empfängern in Exchange Online |
Administrator für Benutzerflows mit externer ID
Benutzer*innen mit dieser Rolle können Benutzerabläufe (auch als „integrierte“ Richtlinien bezeichnet) im Azure-Portal erstellen und verwalten. Diese Benutzer können HTML-/CSS-/JavaScript-Inhalte anpassen, MFA-Anforderungen ändern, Ansprüche im Token auswählen, API-Connectors und ihre Anmeldeinformationen verwalten und Sitzungseinstellungen für alle Benutzerflows in der Microsoft Entra-Organisation konfigurieren. Auf der anderen Seite bietet diese Rolle nicht die Möglichkeit, Benutzerdaten zu überprüfen oder Änderungen an Attributen vorzunehmen, die im Organisationsschema enthalten sind. Änderungen an Richtlinien des Identity Experience Framework (auch „benutzerdefinierte Richtlinien“ genannt) gehören ebenfalls nicht zum Berechtigungsumfang dieser Rolle.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Lesen und Konfigurieren von Benutzerflows in Azure Active Directory B2C |
Administrator für Benutzerflowattribute mit externer ID
Benutzer mit dieser Rolle können benutzerdefinierte Attribute, die für alle Benutzerflows in der Microsoft Entra-Organisation verfügbar sind, hinzufügen und löschen. Daher können Benutzer mit dieser Rolle dem Benutzerschema neue Elemente hinzufügen und diese ändern und haben damit Einfluss auf das Verhalten aller Benutzerflows. Indirekt kann dies auch ändern, welche Daten von Benutzern abgefragt und letztendlich als Ansprüche an Anwendungen gesendet werden. Diese Rolle kann keine Benutzerflows bearbeiten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Lesen und Konfigurieren von Benutzerattributen in Azure Active Directory B2C |
Externer Identitätsanbieteradministrator
Dies ist eine privilegierte Rolle. Dieser Administrator verwaltet den Verbund zwischen Microsoft Entra-Organisationen und externen Identitätsanbietern. Benutzer mit dieser Rolle können neue Identitätsanbieter hinzufügen und alle verfügbaren Einstellungen (z.B. Authentifizierungspfad, Dienst-ID, zugewiesene Schlüsselcontainer) konfigurieren. Diese Benutzer können festlegen, dass die Microsoft Entra-Organisation Authentifizierungen von externen Identitätsanbietern vertraut. Die resultierenden Auswirkungen auf die Benutzerumgebung hängt vom Typ der Organisation ab:
- Microsoft Entra-Organisationen für Mitarbeiter und Partner: Das Hinzufügen eines Verbunds (z. B. mit Gmail) hat sofortige Auswirkungen auf alle Gasteinladungen, die noch nicht eingelöst wurden. Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer.
- Azure Active Directory B2C-Organisationen: Das Hinzufügen eines Verbunds (z. B. bei Facebook oder einer anderen Microsoft Entra-Organisation) wirkt sich nicht sofort auf die Endbenutzerflows aus, sondern erst, wenn der Identitätsanbieter in einem Benutzerflow als Option hinzugefügt wird (auch bezeichnet als „integrierte Richtlinie“). Ein Beispiel finden Sie unter Konfigurieren eines Microsoft-Kontos als Identitätsanbieter. Um Benutzerflows zu ändern, ist die Rolle „B2C-Benutzerflowadministrator“ mit eingeschränkten Rechen erforderlich.
Fabric-Administrator
Benutzer*innen mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Fabric und Power BI, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Grundlegendes zu Fabric-Administratorrollen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.powerApps.powerBI/allEntities/allTasks | Verwalten sämtlicher Aspekte von Fabric und Power BI |
Globaler Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben Zugriff auf alle Verwaltungsfunktionen in Microsoft Entra ID sowie auf Dienste, die Microsoft Entra-Identitäten wie das Microsoft 365 Defender-Portal, das Microsoft Purview Complianceportal, Exchange Online, SharePoint Online und Skype for Business Online verwenden. Globale Administrator*innen können Verzeichnisaktivitätsprotokolle anzeigen. Zudem können globale Administratoren ihre Zugriffsrechte erhöhen, um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten. Dadurch erhalten globale Administratoren mithilfe des entsprechenden Microsoft Entra-Mandanten Vollzugriff auf alle Azure-Ressourcen. Die Person, die die Anmeldung für die Microsoft Entra-Organisation vornimmt, wird ein globaler Administrator. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein. Globale Administratoren können das Kennwort für alle Benutzer und alle anderen Administratoren zurücksetzen. Ein globaler Administrator kann seine eigene Zuweisung als globaler Administrator nicht aufheben. Dadurch wird verhindert, dass eine Organisation über keine globalen Administratoren verfügt.
Hinweis
Als bewährte Methode empfiehlt Microsoft, dass Sie die Rolle "Globaler Administrator" weniger als fünf Personen in Ihrer Organisation zuweisen. Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.
Globaler Leser
Dies ist eine privilegierte Rolle. Benutzer in dieser Rolle können in Microsoft 365-Diensten Einstellungen und administrative Informationen lesen, aber keine Verwaltungsaktionen ausführen. Die Rolle „Globaler Leser“ ist das Gegenstück zu „Globaler Administrator“, hat jedoch nur Leseberechtigungen. Weisen Sie die Rolle „Globaler Leser“ anstelle der Rolle „Globaler Administrator“ für Planungen, Audits oder Untersuchungen zu. Kombinieren Sie die Rolle „Globaler Leser“ mit anderen eingeschränkten Administratorrollen (z. B. Exchange-Administrator), um die Arbeit zu vereinfachen, ohne die Rolle „Globaler Administrator“ verwenden zu müssen. Die Rolle „Globaler Leser“ funktioniert mit Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, Teams Admin Center, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal, Azure-Portal und Device Management Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Kein Zugriff auf den Bereich „Kaufdienste“ im Microsoft 365 Admin Center.
Hinweis
Für die Rolle „Globaler Leser“ gelten die folgenden Einschränkungen:
- OneDrive Admin Center: OneDrive Admin Center unterstützt die Rolle „Globaler Leser“ nicht.
- Microsoft 365 Defender-Portal – Globaler Reader kann keine Inhaltssuche durchführen oder die Sicherheitsbewertung anzeigen.
- Teams Admin Center: Die Rolle „Globaler Leser“ kann den Teams-Lebenszyklus, Analysen und Berichte, die IP-Telefon-Geräteverwaltung und den App-Katalog nicht lesen. Weitere Informationen finden Sie unter Verwenden von Teams-Administratorrollen zum Verwalten von Microsoft Teams.
- Privileged Access Management unterstützt die Rolle „Globaler Leser“ nicht.
- Azure Information Protection: Die Rolle „Globaler Leser“ wird nur für die zentrale Berichterstellung unterstützt, wenn sich Ihre Microsoft Entra-Organisation nicht auf der Plattform für einheitliche Bezeichnungen befindet.
- SharePoint: Globale Lesende haben Lesezugriff auf PowerShell-Cmdlets und Lese-APIs von SharePoint Online.
- Power Platform Admin Center - Der globale Leser wird im Power Platform Admin Center noch nicht unterstützt.
- Microsoft Purview unterstützt nicht die Rolle „Globaler Leser“.
Global Secure Access-Administrator
Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Global Secure Access-Administrator“ zu:
- Erstellen und Verwalten aller Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs
- Verwalten des Zugriffs auf öffentliche und private Endpunkte
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Sie können Unternehmensanwendungen, Anwendungsregistrierungen, bedingten Zugriff oder Anwendungsproxyeinstellungen nicht verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
microsoft.directory/conditionalAccessPolicies/standard/read | Lesen von Richtlinien für bedingten Zugriff |
microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gruppenadministrator
Benutzer mit dieser Rolle können Gruppen und die zugehörigen Einstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten. Es ist wichtig zu verstehen, dass der Benutzer durch die Zuweisung dieser Rolle alle Gruppen in der Organisation nicht nur in Outlook, sondern in verschiedenen Workloads wie Teams, SharePoint und Yammer verwalten kann. Außerdem kann der Benutzer die verschiedenen Gruppeneinstellungen in verschiedenen Verwaltungsportalen wie Microsoft Admin Center und dem Azure-Portal sowie den workloadspezifischen Portalen wie Teams Admin Center und SharePoint Admin Center verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/deletedItems.groups/delete | Dauerhaftes Löschen von Gruppen, die nicht mehr wiederhergestellt werden können. |
microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen. |
microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gasteinladender
Wenn die Benutzereinstellung Mitglieder können einladen auf „Nein“ festgelegt ist, können Benutzer in dieser Rolle Microsoft Entra B2B-Gastbenutzereinladungen verwalten. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Was ist die Microsoft Entra B2B-Zusammenarbeit?. Es sind keine anderen Berechtigungen eingeschlossen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
microsoft.directory/users/invitedBy/read | Lesen des Benutzers, der einen externen Benutzer zu einem Mandanten eingeladen hat |
microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist |
microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
Helpdeskadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Kennwörter ändern, Aktualisierungstoken für ungültig erklären, Supportanfragen bei Microsoft für Azure- und Microsoft 365-Dienste verwalten und die Dienstintegrität überwachen. Wenn ein Aktualisierungstoken für ungültig erklärt wird, muss sich der Benutzer erneut anmelden. Ob ein Helpdeskadministrator das Kennwort eines Benutzers zurücksetzen und Aktualisierungstoken ungültig machen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Helpdeskadministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Helpdeskadministratoren nicht gewährt werden. So kann ein Helpdeskadministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die möglicherweise auf vertrauliche oder private Informationen oder kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Das Delegieren von administrativen Berechtigungen für Teilmengen von Benutzern und das Anwenden von Richtlinien auf eine Teilmenge der Benutzer kann über Verwaltungseinheiten erfolgen.
Im Azure-Portal hieß diese Rolle früher „Kennwortadministrator“. Sie wurde in „Helpdesk-Admin“ umbenannt, um sie der in der Microsoft Graph-API und in Microsoft Graph PowerShell bereits vorhandenen Bezeichnung anzupassen.
Hybrididentitätsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können das Setup der Bereitstellungskonfiguration von Active Directory zu Microsoft Entra ID mithilfe der Cloudbereitstellung erstellen, verwalten und bereitstellen sowie Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Sign-On (nahtloses SSO) und Verbundeinstellungen verwalten. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health. Mit dieser Rolle können Benutzer auch Probleme beheben und Protokolle überwachen.
Identity Governance-Administrator
Benutzer mit dieser Rolle können die Microsoft Entra ID-Governance-Konfiguration verwalten. Dies schließt die Verwaltung von Zugriffspaketen, Zugriffsüberprüfungen, Katalogen und Richtlinien ein. So kann sichergestellt werden, dass der Zugriff genehmigt und überprüft wurde und Gastbenutzer entfernt werden, wenn sie keinen Zugriff mehr benötigen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Microsoft Entra ID. |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Microsoft Entra ID. |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können |
microsoft.directory/accessReviews/definitions.groups/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
microsoft.directory/accessReviews/definitions.groups/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung |
microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
Insights Administrator
Benutzer mit dieser Rolle können auf alle administrativen Funktionen in der Microsoft Viva Insights-App zugreifen. Diese Rolle kann Verzeichnisinformationen lesen, die Dienstintegrität überwachen, Supporttickets einordnen und auf die Einstellungsaspekte für Insights-Administratoren zugreifen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.insights/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Insights-App |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights-Analyst
Weisen Sie die Rolle Insights-Analyst den Benutzern zu, die Folgendes tun müssen:
- Analysieren von Daten in der Microsoft Viva Insights-App, sie können jedoch keine Konfigurationseinstellungen verwalten
- Erstellen, Verwalten und Ausführen von Abfragen
- Anzeigen von Grundeinstellungen und Berichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
Aktionen | BESCHREIBUNG |
---|---|
microsoft.insights/queries/allProperties/allTasks | Ausführen und Verwalten von Abfragen in Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights Business Leader
Benutzer mit dieser Rolle können über die Microsoft Viva Insights-App auf eine Gruppe von Dashboards und Erkenntnisse zugreifen. Dies umfasst Vollzugriff auf alle Dashboards und die dargestellten Funktionen für Erkenntnisse sowie das Durchsuchen von Daten. Benutzer mit dieser Rolle haben keinen Zugriff auf die Einstellungen für die Produktkonfiguration, für die die Rolle „Insights-Administrator“ zuständig ist.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.insights/programs/allProperties/update | Bereitstellen und Verwalten von Programmen in der Insights-App |
microsoft.insights/reports/allProperties/read | Anzeigen von Berichten und Dashboards in der Insights-App |
Intune-Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Intune Online, wenn der Dienst verfügbar ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Mit dieser Rolle können alle Sicherheitsgruppen erstellt und verwaltet werden. Der Intune-Administrator besitzt jedoch keine Administratorrechte für Microsoft 365-Gruppen. Der Administrator kann also keine Besitzenden oder Mitgliedschaften aller Microsoft 365-Gruppen in der Organisation aktualisieren. Im Rahmen der Endbenutzerberechtigungen kann er oder sie allerdings die selbst erstellte Microsoft 365-Gruppe verwalten. Daher zählt jede selbst erstellte Microsoft 365-Gruppe (nicht Sicherheitsgruppe) zu seinem/ihrem Kontingent von 250 Stück.
Hinweis
In der Microsoft Graph-API und Microsoft Graph PowerShell wird diese Rolle als „Intune-Dienstadmin“ bezeichnet. Im Azure-Portal lautet sie „Intune-Administrator“.
Kaizala-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen zum Verwalten von Einstellungen in Microsoft Kaizala, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Darüber hinaus können diese Benutzer auf Berichte zur Einführung und Nutzung von Kaizala durch Mitglieder der Organisation sowie auf Geschäftsberichte zugreifen, die mithilfe von Kaizala-Aktionen generiert wurden.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissensadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Einstellungen für Wissens-, Lern- und intelligenten Features im Microsoft 365 Admin Center. Sie verfügen über ein allgemeines Verständnis der Produktsuite und der Lizenzierungsdetails und sind für die Zugriffssteuerung verantwortlich. Der Wissensadministrator kann Inhalte wie Themen, Akronyme und Lernressourcen erstellen und verwalten. Darüber hinaus können diese Benutzer Inhaltscenter erstellen, die Dienstintegrität überwachen und Service Requests erstellen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App. |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Lesen aller Eigenschaften von Vertraulichkeitsbezeichnungen im Security and Compliance Center |
microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissens-Manager
Benutzer in dieser Rolle können Inhalte wie Themen, Akronyme und Lerninhalte erstellen und verwalten. Diese Benutzer sind in erster Linie für die Qualität und Struktur von Wissen zuständig. Dieser Benutzer hat vollständige Rechte für Themenverwaltungsaktionen zum Bestätigen eines Themas, Genehmigen von Bearbeitungen oder Löschen eines Themas. Diese Rolle kann auch Taxonomien im Rahmen des Begriffs „Speicherverwaltungstool“ verwalten und Inhaltscenter erstellen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center |
microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lizenzadministrator
Benutzer mit dieser Rolle können Lizenzzuweisungen für Benutzer und Gruppen (unter Verwendung der gruppenbasierten Lizenzierung) lesen, hinzufügen, entfernen und aktualisieren sowie den Verwendungsstandort für Benutzer verwalten. Mit dieser Rolle ist es nicht möglich, Abonnements zu erwerben oder zu verwalten, Gruppen zu erstellen oder zu verwalten oder Benutzer zu erstellen oder zu verwalten (mit Ausnahme des Verwendungsstandorts). Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
microsoft.directory/users/usageLocation/update | Aktualisieren des Verwendungsstandorts von Benutzern |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lebenszyklus-Workflowadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Lebenszyklus-Workflowadministrator zu:
- Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID.
- Überprüfen der Ausführung geplanter Workflows
- Starten von On-Demand-Workflowausführungen
- Überprüfen von Workflowausführungsprotokollen
Nachrichtencenter-Datenschutzleseberechtigter
Benutzer mit dieser Rolle können alle Benachrichtigungen im Nachrichtencenter überwachen, einschließlich Nachrichten zum Datenschutz. Nachrichtencenter-Datenschutzleseberechtigte erhalten E-Mail-Benachrichtigungen, einschließlich Nachrichten zum Datenschutz, und können Benachrichtigungen mithilfe der Einstellungen im Nachrichtencenter abbestellen. Nur der globale Administrator und Nachrichtencenter-Datenschutzleseberechtigte können Nachrichten zum Datenschutz lesen. Darüber hinaus umfasst diese Rolle die Berechtigung zum Anzeigen von Gruppen, Domänen und Abonnements. Diese Rolle umfasst keine Berechtigung zum Anzeigen, Erstellen oder Verwalten von Service Requests.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Nachrichtencenter-Leser
Benutzer mit dieser Rolle können Benachrichtigungen und empfohlene Integritätsupdates für ihre Organisation und die konfigurierten Dienste wie Exchange, Intune und Microsoft Teams im Nachrichtencenter überwachen. Nachrichtencenter-Leser erhalten eine wöchentliche E-Mail-Übersicht der Beiträge und Updates und können Beiträge in Microsoft 365 teilen. In Microsoft Entra ID haben Benutzer, denen diese Rolle zugewiesen wurde, nur schreibgeschützten Zugriff auf Microsoft Entra-Dienste wie Benutzer und Gruppen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft 365-Migrationsadministrator*in
Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft 365-Migrationsadministrator*in“ zu:
- Verwenden des Migrations-Managers in Microsoft 365 Admin Center zum Verwalten der Inhaltsmigration zu Microsoft 365 (einschließlich Teams, OneDrive for Business und SharePoint-Websites von Google Drive, Dropbox, Box und Egnyte)
- Auswählen von Migrationsquellen, Erstellen von Migrationsinventaren (z. B. Google Drive-Benutzerlisten), Planen und Durchführen von Migrationen sowie Herunterladen von Berichten
- Erstellen neuer SharePoint-Websites (wenn die Zielwebsites noch nicht vorhanden sind), Erstellen von SharePoint-Listen unter den SharePoint-Administratorwebsites sowie Erstellen und Aktualisieren von Elementen in SharePoint-Listen
- Verwalten von Migrationsprojekteinstellungen und Migrationslebenszyklen für Aufgaben
- Verwalten von Berechtigungszuordnungen von Quelle zu Ziel
Hinweis
Mit dieser Rolle können Sie nicht über SharePoint Admin Center aus Dateifreigabequellen migrieren. Sie können die SharePoint-Administratorrolle verwenden, um aus Dateifreigabequellen zu migrieren.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Microsoft 365-Migrationen |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lokaler Administrator des in Microsoft Entra eingebundenen Geräts
Diese Rolle kann nur als zusätzlicher lokaler Administrator in den Geräteeinstellungen zugewiesen werden. Benutzer mit dieser Rolle werden auf allen Windows 10-Geräten, die in Microsoft Entra ID eingebunden sind, als Administratoren für den lokalen Computer festgelegt. Sie haben nicht die Möglichkeit zum Verwalten von Geräteobjekten in Microsoft Entra ID.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
Microsoft-Hardwaregarantieadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft-Hardwaregarantieadministrator“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Suchen nach und Lesen von offenen oder abgeschlossenen Garantieansprüchen
- Suchen nach und Lesen von Garantieansprüchen nach Seriennummer
- Erstellen, Lesen, Aktualisieren und Löschen von Lieferadressen
- Lesen des Lieferstatus für offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Lesen von Ankündigungen des Nachrichtencenters im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden |
microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft Hardware Warranty Specialist
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft Hardware Warranty Specialist“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Lesen der von ihnen erstellten Garantieansprüche
- Lesen und Aktualisieren vorhandener Lieferadressen
- Lesen des Lieferstatus für von ihnen erstellte offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden |
microsoft.hardware.support/warrantyClaims/createAsOwner | Microsoft-Hardwaregarantieansprüche erstellen, bei denen der Ersteller der Besitzer ist |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-Hardwaregarantieansprüche lesen |
Moderner Commerceadministrator
Nicht verwenden.. Diese Rolle wird automatisch von Commerce zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt. Die Details hierzu finden Sie unten.
Mit der Rolle „Moderner Commerceadministrator“ sind bestimmte Benutzer berechtigt, auf Microsoft 365 Admin Center zuzugreifen und die linken Navigationseinträge für Home, Abrechnung und Support anzuzeigen. Der in diesen Bereichen verfügbare Inhalt wird von commercespezifischen Rollen gesteuert, die Benutzern zugewiesen werden, um Produkte zu verwalten, die sie für sich selbst oder für Ihre Organisation gekauft haben. Dies kann Aufgaben wie das Bezahlen von Rechnungen oder den Zugriff auf Abrechnungskonten und Abrechnungsprofile umfassen.
Benutzer mit der Rolle „Moderner Commerce-Administrator“ verfügen in der Regel über administrative Berechtigungen in anderen Microsoft-Einkaufssystemen, jedoch nicht über die Rollen „Unternehmensadministrator“ oder „Abrechnungsadministrator“, die für den Zugriff auf Admin Center verwendet werden.
Wann wird die Rolle „Moderner Commerceadministrator“ zugewiesen?
- Self-Service-Käufe in Microsoft 365 Admin Center: Self-Service-Käufe bieten Benutzern die Möglichkeit, neue Produkte zu testen, indem sie sich diese Produkte selbst kaufen oder sich dafür registrieren. Diese Produkte werden in Admin Center verwaltet. Benutzern, die einen Self-Service-Kauf tätigen, wird eine Rolle im Commerce System und die Rolle „Moderner Commerceadministrator“ zugewiesen, damit sie ihre Käufe in Admin Center verwalten können. Administrator*innen können über PowerShell Self-Service-Käufe (für Fabric, Power BI, Power Apps, Power Automate) blockieren. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Self-Service-Einkäufen.
- Käufe über den kommerziellen Microsoft Marketplace: Wenn ein Benutzer ein Produkt oder einen Dienst von Microsoft AppSource oder Azure Marketplace kauft, wird ähnlich wie beim Self-Service-Kauf die Rolle „Moderner Commerce-Administrator“ zugewiesen, wenn er nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt. In einigen Fällen werden Benutzer möglicherweise daran gehindert, diese Käufe durchzuführen. Weitere Informationen finden Sie unter Kommerzieller Microsoft Marketplace.
- Vorschläge von Microsoft: Ein Vorschlag ist ein formales Angebot von Microsoft für Ihre Organisation für den Kauf von Microsoft-Produkten und -Diensten. Wenn der Benutzer, der den Vorschlag annimmt, in Microsoft Entra ID nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt, wird ihm eine commercespezifische Rolle zugewiesen, um den Vorschlag abzuschließen. Darüber hinaus erhält er die Rolle Moderner Commerce-Administrator für den Zugriff auf das Admin Center. Wenn diese Person auf Admin Center zugreifen, kann sie nur Funktionen verwenden, die von ihrer commercespezifischen Rolle autorisiert werden.
- Commercespezifische Rollen: Einigen Benutzern werden commercespezifische Rollen zugewiesen. Wenn ein Benutzer kein globaler Administrator oder Abrechnungsadministrator ist, erhält er die Rolle „Modern Commerce-Benutzer“, damit er auf Admin Center zugreifen kann.
Wenn die Zuweisung der Rolle „Moderner Commerceadministrator“ für einen Benutzer aufgehoben wird, verliert er den Zugriff auf Microsoft 365 Admin Center. Wenn er Produkte entweder für sich selbst oder für Ihre Organisation verwaltet hat, kann er die Verwaltung nicht fortsetzen. Dies kann das Zuweisen von Lizenzen, das Ändern von Zahlungsmethoden, das Bezahlen von Rechnungen oder andere Aufgaben zum Verwalten von Abonnements umfassen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Verwalten sämtlicher Aspekte des Volume Licensing Service Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/basic/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Netzwerkadministrator
Benutzer mit dieser Rolle können Empfehlungen zur Netzwerkumkreisarchitektur von Microsoft überprüfen, die auf Netzwerktelemetriedaten von ihren Benutzerstandorten basieren. Die Netzwerkleistung für Microsoft 365 basiert auf einer sorgfältigen Netzwerkumkreisarchitektur für Unternehmenskunden, die im Allgemeinen für den Benutzerstandort spezifisch ist. Diese Rolle ermöglicht das Bearbeiten von ermittelten Benutzerstandorten und das Konfigurieren von Netzwerkparametern für diese Standorte, um verbesserte Telemetriemessungen und Entwurfsempfehlungen zu ermöglichen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Verwalten sämtlicher Aspekte von Netzwerkstandorten |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Office-Apps-Administrator
Benutzer mit dieser Rolle können die Cloudeinstellungen von Microsoft 365-Apps verwalten. Dazu gehören die Verwaltung von Cloudrichtlinien, die Self-Service-Downloadverwaltung und die Möglichkeit, Office-Apps-bezogene Berichte anzuzeigen. Diese Rolle ermöglicht es außerdem, Supporttickets zu verwalten und die Dienstintegrität im Haupt-Admin Center zu überwachen. Benutzer, denen diese Rolle zugewiesen ist, können außerdem Mitteilungen zu neuen Features in Office-Apps verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.userCommunication/allEntities/allTasks | Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Organisationsbrandingadministrator
Weisen Sie die Rolle „Organisationsbrandingadministrator“ Benutzern zu, die die folgenden Aufgaben ausführen müssen:
- Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten
- Lesen, Erstellen, Aktualisieren und Löschen von Brandingdesigns
- Verwalten des standardmäßigen Brandingdesigns und aller Brandinglokalisierungsdesigns
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften |
Genehmigende Person für Organisationsnachrichten
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Genehmigende Person für Organisationsnachrichten“ zu:
- Überprüfen, Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center, bevor sie über die Plattform für Microsoft 365-Organisationsnachrichten an Benutzer gesendet werden
- Lesen aller Aspekte in Bezug auf Organisationsnachrichten
- Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Schreiber für Organisationsnachrichten
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Schreiber für Organisationsnachrichten“ zu:
- Schreiben, Veröffentlichen und Löschen von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Verwalten von Optionen für die Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Lesen der Ergebnisse der Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Anzeigen von Verwendungsberichten und der meisten Einstellungen im Microsoft 365 Admin Center. Änderungen können aber nicht vorgenommen werden.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten |
microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Partnersupport der Ebene 1
Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
Partnersupport der Ebene 2
Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann für Benutzer mit und ohne Administratorrechte (einschließlich globale Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
Kennwortadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben eingeschränkte Möglichkeiten zum Verwalten von Kennwörtern. Mit dieser Rolle werden keine Berechtigungen zum Verwalten von Dienstanforderungen oder zum Überwachen der Dienstintegrität gewährt. Ob ein Kennwortadministrator das Kennwort eines Benutzers zurücksetzen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Kennwortadministrator Kennwörter zurücksetzen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
Berechtigungsverwaltungsadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Berechtigungsverwaltungsadministrator“ zu:
- Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung, sofern der Dienst vorhanden ist
Weitere Informationen zu Berechtigungsverwaltungsrollen und -richtlinien finden Sie im Artikel zum Anzeigen von Informationen zu Rollen/Richtlinien.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung |
Power Platform-Administrator
Benutzer in dieser Rolle können alle Aspekte von Umgebungen, Power Apps, Flows und Richtlinien zur Verhinderung von Datenverlust erstellen und verwalten. Darüber hinaus verfügen Benutzer mit dieser Rolle über die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
microsoft.flow/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.powerApps/allEntities/allTasks | Verwalten sämtlicher Aspekte von Power Apps |
Druckeradministrator
Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte sämtlicher Druckerkonfigurationen in der Microsoft-Lösung für universelles Drucken verwalten, einschließlich der Connectoreinstellungen für universelles Drucken. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Erstellen und Löschen von Druckern und Connectors sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Print |
Druckertechniker
Benutzer mit dieser Rolle können Drucker registrieren und den Druckerstatus in der Microsoft-Lösung für universelles Drucken verwalten. Sie können außerdem alle Connectorinformationen lesen. Zu den Hauptaufgaben, die ein Druckertechniker nicht ausführen kann, gehören das Festlegen von Benutzerberechtigungen für Drucker sowie das Freigeben von Druckern.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.print/connectors/allProperties/read | Lesen aller Eigenschaften von Connectors in Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Lesen aller Eigenschaften von Druckern in Microsoft Print |
microsoft.azure.print/printers/basic/update | Aktualisieren grundlegender Eigenschaften von Druckern in Microsoft Print |
microsoft.azure.print/printers/register | Registrieren von Druckern in Microsoft Print |
microsoft.azure.print/printers/unregister | Aufheben der Registrierung von Druckern in Microsoft Print |
Privilegierter Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „privilegierter Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für jeden Benutzer (einschließlich globale Administratoren).
- Löschen oder Wiederherstellen von Benutzern, einschließlich globaler Administratoren. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erzwingen Sie, dass Benutzer sich für vorhandene Nichtkennwortanmeldeinformationen (z. B. MFA oder FIDO2) erneut registrieren und MFA auf dem Gerätwiderrufen, und fordern Sie bei der nächsten Anmeldung aller Benutzer zur MFA auf.
- Aktualisieren vertraulicher Eigenschaften für alle Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
- Konfigurieren von Zertifizierungsstellen mit einem PKI-basierten Vertrauensspeicher (Vorschau)
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten der MFA pro Benutzer im Legacy-MFA-Verwaltungsportal.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
Rolle | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
---|---|---|---|---|---|---|---|
Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Ja | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nr. | Nr. | Nr. | Ja, für alle Benutzer | Ja, für alle Benutzer |
Authentifizierungsrichtlinienadministrator | Nr. | Ja | Ja | Ja | Ja | Nr. | Nr. |
Benutzeradministrator | Nr. | Nr. | Nr. | Nr. | Nr. | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender- und Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Administrator für privilegierte Rollen
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Rollenzuweisungen sowohl in Microsoft Entra ID als auch innerhalb von Privileged Identity Management (PIM) von Microsoft Entra verwalten. Sie können Gruppen erstellen und verwalten, die Microsoft Entra-Rollen zugewiesen werden können. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von Privileged Identity Management und administrativer Einheiten.
Wichtig
Diese Rolle ermöglicht die Verwaltung von Zuweisungen für alle Microsoft Entra-Rollen, einschließlich der globalen Administratorrolle. Diese Rolle umfasst keine anderen privilegierten Funktionen in Microsoft Entra ID wie das Erstellen oder Aktualisieren von Benutzern. Benutzer, die dieser Rolle zugewiesen sind, können sich selbst oder anderen jedoch zusätzliche Berechtigungen gewähren, indem sie zusätzliche Rollen zuweisen.
Meldet Reader
Benutzer*innen mit dieser Rolle können Nutzungsberichtsdaten und das Berichtsdashboard im Microsoft 365 Admin Center sowie das Einführungskontextpaket in Fabric und Power BI anzeigen. Darüber hinaus ermöglicht die Rolle den Zugriff auf alle Anmeldeprotokolle, Prüfprotokolle und Aktivitätsberichte in Microsoft Entra ID und von der Microsoft Graph-Berichterstellungs-API zurückgegebene Daten. Ein Benutzer, dem die Rolle „Meldet Reader“ zugewiesen ist, kann nur auf relevante Nutzungs- und Anpassungsmetriken zugreifen. Sie verfügen nicht über Administratorrechte, um Einstellungen zu konfigurieren oder auf produktspezifische Verwaltungskonsolen wie das Exchange Admin Center zuzugreifen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Suchadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Microsoft Search-Verwaltungsfunktionen im Microsoft 365 Admin Center. Darüber hinaus können diese Benutzer das Nachrichtencenter anzeigen, die Dienstintegrität überwachen und Service Requests erstellen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Such-Editor
Benutzer mit dieser Rolle können Inhalte für Microsoft Search im Microsoft 365 Admin Center erstellen, verwalten und löschen. Hierzu gehören Inhalte wie Lesezeichen, Fragen und Antworten sowie Standorte.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Sicherheitsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle verfügen über Berechtigungen zum Verwalten sicherheitsbezogener Features im Microsoft 365 Defender-Portal, in Microsoft Entra ID, inder Microsoft Entra-Authentifizierung, in Azure Information Protection und im Microsoft Purview-Complianceportal. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Geben Sie in | Möglich |
---|---|
Microsoft 365 Defender-Portal | Überwachen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
Microsoft Entra ID Protection | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge außer des Zurücksetzens von Kennwörtern |
Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Kann keine Microsoft Entra-Rollenzuweisungen oder -Einstellungen verwalten |
Grundlegendes zum Microsoft Purview-Complianceportal | Verwalten von Sicherheitsrichtlinien Anzeigen, Untersuchen und Reagieren auf Sicherheitsbedrohungen Berichte anzeigen |
Azure Advanced Threat Protection | Überwachen und Reagieren auf verdächtige Sicherheitsaktivitäten |
Microsoft Defender für den Endpunkt | Zuweisen von Rollen Verwalten von Computergruppen Konfigurieren der Endpunkt-Bedrohungserkennung und der automatisierten Korrektur Anzeigen, Untersuchen und Reagieren auf Warnungen Anzeigen des Computer-/Gerätebestands |
Intune | Entspricht der Rolle Intune-Endpunkt-Sicherheitsmanager |
Microsoft Defender für Cloud-Apps | Hinzufügen von Administratoren, Richtlinien und Einstellungen, Hochladen von Protokollen und Ausführen von Governanceaktionen |
Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
Smart Lockout | Hiermit werden der Schwellenwert und die Dauer für Sperren definiert, wenn fehlerhafte Anmeldeereignisse auftreten. |
Kennwortschutz | Konfigurieren Sie die benutzerdefinierte Liste der gesperrten Kennwörter oder lokalen Kennwortschutz. |
Mandantenübergreifende Synchronisierung | Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen für Benutzer*innen in einem anderen Mandanten. Sicherheitsadministrator*innen können Benutzer*innen nicht direkt erstellen und löschen, aber synchronisierte Benutzer*innen aus einem anderen Mandanten indirekt erstellen und löschen, wenn beide Mandanten für die mandantenübergreifende Synchronisierung konfiguriert sind. Dabei handelt es sich um eine privilegierte Berechtigung. |
Sicherheitsoperator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Warnungen verwalten und besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features. Dies schließt sämtliche Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection, im Privileged Identity Management und im Microsoft Purview-Complianceportal ein. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Geben Sie in | Möglich |
---|---|
Microsoft 365 Defender-Portal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Warnungen zu Sicherheitsbedrohungen Verwalten von Sicherheitseinstellungen in Microsoft 365 Defender-Portal |
Microsoft Entra ID Protection | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge, mit Ausnahme des Konfigurierens oder Änderns risikobasierter Richtlinien, des Zurücksetzens von Kennwörtern und des Konfigurierens von Warnungs-E-Mails |
Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
Grundlegendes zum Microsoft Purview-Complianceportal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
Microsoft Defender für den Endpunkt | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
Intune | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
Microsoft Defender für Cloud-Apps | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
Sicherheitsleseberechtigter
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich alle Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection und im Privileged Identity Management. Darüber hinaus können sie Anmeldeberichte und Überwachungsprotokolle in Microsoft Entra und im Microsoft Purview-Complianceportal lesen. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Geben Sie in | Möglich |
---|---|
Microsoft 365 Defender-Portal | Anzeigen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Anzeigen von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
Microsoft Entra ID Protection | Anzeigen aller Identity Protection-Berichte und der Übersicht |
Privileged Identity Management | Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen im Privileged Identity Management von Microsoft Entra: Richtlinien und Berichte für Microsoft Entra-Rollenzuweisungen und Sicherheitsüberprüfungen. Kann sich nicht für das Privileged Identity Management von Microsoft Entra registrieren oder Änderungen daran vornehmen. Im Privileged Identity Management-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z. B. „Administrator für privilegierte Rollen“) aktivieren, wenn der Benutzer dafür geeignet ist. |
Grundlegendes zum Microsoft Purview-Complianceportal | Anzeigen von Sicherheitsrichtlinien Anzeigen und Untersuchen von Sicherheitsbedrohungen Berichte anzeigen |
Microsoft Defender für den Endpunkt | Anzeigen und Untersuchen von Warnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
Intune | Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen |
Microsoft Defender für Cloud-Apps | Besitzt Leserechte. |
Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
Dienstunterstützungsadministrator
Benutzer mit dieser Rolle können bei Microsoft Supportanfragen für Azure- und Microsoft 365-Dienste erstellen und verwalten sowie das Dienstdashboard und Nachrichtencenter im Azure-Portal und im Microsoft 365 Admin Center anzeigen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
Bisher wurde diese Rolle im Azure-Portal und im Microsoft 365 Admin Center als „Dienstadministrator“ bezeichnet. Sie wurde in „Dienstunterstützungsadministrator“ umbenannt, um sie der in der Microsoft Graph-API und in Microsoft Graph PowerShell bereits vorhandenen Bezeichnung anzupassen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
SharePoint-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft SharePoint Online, wenn der Dienst verfügbar ist, und sie können alle Microsoft 365-Gruppen erstellen und verwalten, Supporttickets verwalten sowie die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und Microsoft Graph PowerShell wird diese Rolle als „SharePoint-Dienstadmin“ bezeichnet. Im Azure-Portal lautet sie „SharePoint-Administrator“.
Hinweis
Diese Rolle gewährt auch der Microsoft Graph-API bereichsbezogene Berechtigungen für Microsoft Intune, um die Verwaltung und Konfiguration von Richtlinien für SharePoint- und OneDrive-Ressourcen zu ermöglichen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Erstellen und Verwalten der OneDrive-Schutzrichtlinie in Microsoft 365 Backup |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Wiederherstellungssitzung für OneDrive in Microsoft 365 Backup lesen und konfigurieren |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Verwalten Sie alle Wiederherstellungspunkte, die mit ausgewählten SharePoint-Sites in M365 Backup verbunden sind. |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Verwalten aller Wiederherstellungspunkte, die mit ausgewählten OneDrive-Konten in M365 Backup verbunden sind |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Erstellen und Verwalten der SharePoint-Schutzrichtlinie in Microsoft 365 Backup |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Wiederherstellungssitzung für SharePoint in Microsoft 365 Backup lesen und konfigurieren |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Verwalten von Websites, die der SharePoint-Schutzrichtlinie in Microsoft 365 Backup hinzugefügt wurden |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Verwalten von Websites, die der Wiederherstellungssitzung für SharePoint in Microsoft 365 Backup hinzugefügt wurden |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Verwalten von Konten, die der OneDrive-Schutzrichtlinie in Microsoft 365 Backup hinzugefügt wurden |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Verwalten von Konten, die der Wiederherstellungssitzung für OneDrive in Microsoft 365 Backup hinzugefügt wurden |
microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Microsoft 365-Migrationen |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
SharePoint Embedded-Administrator
Weisen Sie die Rolle „SharePoint Embedded-Administrator“ Benutzern zu, die die folgenden Aufgaben ausführen müssen:
- Alle Aufgaben, die mit PowerShell, der Microsoft Graph-API oder dem SharePoint Admin Center ausgeführt werden
- Verwalten, Konfigurieren und Pflegen von eingebetteten SharePoint-Containern
- Auflisten und Verwalten von eingebetteten SharePoint-Containern
- Auflisten und Verwalten von Berechtigungen für eingebettete SharePoint-Container
- Verwalten der Speicherung von eingebetteten SharePoint-Containern in einem Mandanten
- Zuweisen von Sicherheits- und Compliancerichtlinien für eingebettete SharePoint-Container
- Anwenden von Sicherheits- und Compliancerichtlinien auf eingebettete SharePoint-Container in einem Mandanten
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Verwalten aller Aspekte von eingebetteten SharePoint-Containern |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Skype for Business-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist, sowie die Berechtigung zur Verwaltung von Skype-spezifischen Benutzerattributen in Microsoft Entra ID. Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen, sowie auf die Admin Center von Teams und Skype for Business zuzugreifen. Das Konto muss auch für Teams lizenziert sein, andernfalls kann es keine PowerShell-Cmdlets von Teams ausführen. Weitere Informationen finden Sie unter Skype for Business Online-Administrator. Informationen zur Teams-Lizenzierung finden Sie unter Skype for Business-Add-On-Lizenzierung.
Hinweis
In der Microsoft Graph-API und in Microsoft Graph PowerShell wird diese Rolle als „Lync-Dienstadmin“ bezeichnet. Im Azure-Portal lautet sie „Skype for Business-Administrator“.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Teams-Administrator
Benutzer mit dieser Rolle können alle Aspekte der Microsoft Teams-Workload über das Admin Center von Microsoft Teams und Skype for Business und die entsprechenden PowerShell-Module verwalten. Dazu zählen unter anderem alle Verwaltungstools im Zusammenhang mit Telefonie, Messaging, Besprechungen und den Teams selbst. Außerdem bietet diese Rolle die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
microsoft.directory/externalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/externalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/pendingExternalUserProfiles/create | Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.azure.print/allEntities/allProperties/allTasks | Verwalten aller Ressourcen in Teams |
Teams-Kommunikationsadministrator
Benutzer mit dieser Rolle können Aspekte der Microsoft Teams-Workload im Zusammenhang mit Sprache und Telefonie verwalten. Dazu gehören die Verwaltungstools für die Telefonnummernzuweisung, Sprach- und Besprechungsrichtlinien und der uneingeschränkte Zugriff auf das Toolset zur Anrufanalyse.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard |
microsoft.teams/meetings/allProperties/allTasks | Verwalten von Besprechungen (einschließlich Besprechungsrichtlinien, Konfigurationen und Konferenzbrücken) |
microsoft.teams/voice/allProperties/allTasks | Verwalten von Sprachanrufen (einschließlich Anrufrichtlinien sowie Verwalten und Zuweisen von Telefonnummern) |
Teams-Kommunikationssupporttechniker
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können vollständige Anrufdatensatzinformationen für alle Teilnehmer anzeigen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard |
Teams-Kommunikationssupportspezialist
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können Benutzerdetails im Anruf nur für den bestimmten Benutzer anzeigen, nach dem sie gesucht haben. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.teams/callQuality/standard/read | Lesen grundlegender Daten im Anrufqualitäts-Dashboard |
Teams-Geräteadministrator
Benutzer mit dieser Rolle können im Teams Admin Center für Teams zertifizierte Geräte verwalten. Diese Rolle bietet eine Übersicht über alle Geräte, mit der Möglichkeit, Geräte zu suchen und zu filtern. Der Benutzer kann Details zu jedem Gerät überprüfen, darunter das angemeldete Konto sowie Marke und Modell des Geräts. Der Benutzer kann die Einstellungen auf dem Gerät ändern und die Softwareversionen aktualisieren. Diese Rolle gewährt keine Berechtigungen zum Überprüfen der Teams-Aktivität und der Anrufqualität des Geräts.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.teams/devices/standard/read | Verwalten sämtlicher Aspekte von in Teams zertifizierten Geräten (einschließlich Konfigurationsrichtlinien) |
Teams-Telefonieadministrator
Weisen Sie die Rolle des Teams-Telefonieadministrators den Benutzern zu, die die folgenden Aufgaben ausführen müssen:
- Verwalten von Sprach- und Telefoniefunktionen, wie Anrufrichtlinien, Verwaltung und Zuweisung von Telefonnummern sowie Sprachanwendungen
- Zugriff nur auf PSTN-Nutzungsberichte (Public Switched Telephone Network) über das Teams Admin Center
- Anzeigen der Seite mit dem Benutzerprofil
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard |
microsoft.teams/voice/allProperties/allTasks | Verwalten von Sprachanrufen (einschließlich Anrufrichtlinien sowie Verwalten und Zuweisen von Telefonnummern) |
Mandantenersteller
Weisen Sie die Rolle „Mandantenersteller“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Erstellen sowohl von Microsoft Entra- als auch von Azure Active Directory B2C-Mandanten, auch wenn die Umschaltfläche für die Mandantenerstellung in den Benutzereinstellungen deaktiviert ist
Hinweis
Den Mandantenerstellern wird in den von ihnen erstellten neuen Mandanten die Rolle „Globaler Administrator“ zugewiesen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/tenantManagement/tenants/create | Erstellen neuer Mandanten in Microsoft Entra ID |
Leseberechtigter für Verwendungszusammenfassungsberichte
Weisen Sie Benutzer*innen, die die folgenden Aufgaben im Microsoft 365 Admin Center ausführen müssen, die Rolle „Leseberechtigter für Berichte mit Nutzungszusammenfassung“ zu:
- Anzeigen der Nutzungsberichte und der Einführungsbewertung
- Lesen von Organisationserkenntnissen, aber nicht von personenbezogenen Informationen (Personally Identifiable Information, PII) von Benutzer*innen
Mit dieser Rolle können Benutzer*innen nur Daten auf Organisationsebene mit den folgenden Ausnahmen anzeigen:
- Mitgliedsbenutzer*innen können Benutzerverwaltungsdaten und -einstellungen anzeigen.
- Gastbenutzer*innen, denen diese Rolle zugewiesen ist, können keine Benutzerverwaltungsdaten und -einstellungen anzeigen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Benutzeradministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Benutzeradministrator“ zu:
Berechtigung | Weitere Informationen |
---|---|
Erstellen von Benutzern | |
Aktualisieren der meisten Benutzereigenschaften für alle Benutzer, einschließlich aller Administratoren | Wer kann vertrauliche Aktionen ausführen? |
Aktualisieren vertraulicher Eigenschaften (einschließlich Benutzerprinzipalname) für einige Benutzer | Wer kann vertrauliche Aktionen ausführen? |
Deaktivieren oder Aktivieren einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
Löschen oder Wiederherstellen einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
Erstellen und Verwalten von Benutzeransichten | |
Erstellen und Verwalten aller Gruppen | |
Zuweisen und Lesen von Lizenzen für alle Benutzer, einschließlich aller Administratoren | |
Zurücksetzen von Kennwörtern | Wer kann Kennwörter zurücksetzen? |
Annullieren Sie Aktualisierungstoken. | Wer kann Kennwörter zurücksetzen? |
Aktualisieren von Geräteschlüsseln (FIDO) | |
Aktualisieren von Richtlinien für den Kennwortablauf | |
Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center | |
Überwachen der Dienstintegrität |
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten von MFA.
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Verwalten gemeinsam genutzter Postfächer
- Sicherheitsfragen für den Kennwortzurücksetzungsvorgang können nicht geändert werden.
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Benutzeradministratoren nicht gewährt werden. So kann ein Benutzeradministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Erfolgs-Manager für die Benutzererfahrung
Weisen Sie die Rolle „Erfolgsmanager für das Benutzererlebnis“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Nutzungsberichte auf Organisationsebene für Microsoft 365 Apps und Dienste, aber keine Benutzerdetails lesen
- Produktfeedback Ihrer Organisation, Umfrageergebnisse von Net Promoter Score (NPS) und Hilfeartikelansichten zum Identifizieren von Kommunikations- und Schulungsmöglichkeiten anzeigen
- Nachrichtencenterbeiträge und Dienststatusdaten lesen
Aktionen | BESCHREIBUNG |
---|---|
microsoft.commerce.billing/purchases/standard/read | Kaufdienste im M365 Admin Center lesen. |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für virtuelle Besuche
Benutzer mit dieser Rolle können die folgenden Aufgaben ausführen:
- Verwalten und Konfigurieren aller Aspekte virtueller Besuche in Bookings im Microsoft 365 Admin Center und im Teams EHR-Connector
- Anzeigen von Nutzungsberichten für virtuelle Besuche in Teams Admin Center, Microsoft 365 Admin Center, Fabric und Power BI
- Anzeigen von Features und Einstellungen im Microsoft 365 Admin Center, aber keine Bearbeitung von Einstellungen
Virtuelle Besuche sind eine einfache Möglichkeit, Online- und Videotermine für Mitarbeiter und Teilnehmende zu planen und zu verwalten. Beispielsweise kann die Verwendungsberichterstattung zeigen, wie durch das Senden von SMS-Textnachrichten vor Terminen die Anzahl der Personen, die Termine nicht wahrnehmen, verringert werden kann.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten |
Viva Goals-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Goals-Administrator“ zu:
- Alle Aspekte der Microsoft Viva Goals-Anwendung verwalten und konfigurieren
- Microsoft Viva Goals-Administratoreinstellungen konfigurieren
- Lesen von Microsoft Entra-Mandanteninformationen.
- Microsoft 365-Dienststatus überwachen
- Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Viva Goals und Einführung in Microsoft Viva Goals.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.viva.goals/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Goals verwalten |
Viva Pulse-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Pulse-Administrator“ zu:
- Lesen und Konfigurieren aller Einstellungen von Viva Pulse
- Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
- Lesen und Konfigurieren von Azure Service Health
- Erstellen und Verwalten von Azure-Supporttickets
- Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
Weitere Informationen finden Sie unter Zuweisen eines Viva Pulse-Administrators im Microsoft 365 Admin Center.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Pulse verwalten |
Windows 365-Administrator
Benutzer mit dieser Rolle verfügen über globale Berechtigungen für Windows 365-Ressourcen, wenn der Dienst vorhanden ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten.
Diese Rolle kann Sicherheitsgruppen erstellen und verwalten, verfügt jedoch nicht über Administratorrechte für Microsoft 365-Gruppen. Das bedeutet, dass Administratoren Besitzer oder Mitgliedschaften von Microsoft 365-Gruppen in der Organisation nicht aktualisieren können. Sie können jedoch die Microsoft 365-Gruppe verwalten, die sie erstellen. Dies ist ein Teil ihrer Endbenutzerberechtigungen. Daher werden alle Microsoft 365-Gruppen (keine Sicherheitsgruppe), die sie erstellen, ihrem Kontingent von 250 angerechnet.
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Windows 365-Administrator zu:
- Verwalten von Windows 365 Cloud-PCs in Microsoft Intune
- Registrieren und Verwalten von Geräten in Microsoft Entra ID, einschließlich Zuweisen von Benutzern und Richtlinien.
- Erstellen und Verwalten von Sicherheitsgruppen, aber nicht von Rollen zuweisbaren Gruppen
- Anzeigen grundlegender Eigenschaften im Microsoft 365 Admin Center
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
Aktionen | BESCHREIBUNG |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
microsoft.directory/devices/basic/update | Aktualisieren grundlegender Eigenschaften für Geräte |
microsoft.directory/devices/create | Erstellen von Geräten (Registrieren bei Microsoft Entra ID). |
microsoft.directory/devices/delete | Löschen von Geräten aus Microsoft Entra ID |
microsoft.directory/devices/disable | Deaktivieren von Geräten in Microsoft Entra ID |
microsoft.directory/devices/enable | Aktivieren von Geräten in Microsoft Entra ID |
microsoft.directory/devices/extensionAttributeSet1/update | Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten |
microsoft.directory/devices/extensionAttributeSet2/update | Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten |
microsoft.directory/devices/extensionAttributeSet3/update | Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten |
microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/classification/update | Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.security/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Windows Update-Bereitstellungsadministrator
Benutzer mit dieser Rolle können alle Aspekte von Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. Mit dem Bereitstellungsdienst können Benutzer festlegen, wann und wie Updates bereitgestellt werden, und angeben, welche Updates für Gruppen von Geräten in ihrem Mandanten angeboten werden. Darüber hinaus können Benutzer den Updatefortschritt überwachen.
Aktionen | BESCHREIBUNG |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts |
Yammer-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Yammer-Administrator zu:
- Verwalten sämtlicher Aspekte von Yammer
- Erstellen, Verwalten und Wiederherstellen von Microsoft 365-Gruppen, aber nicht von Gruppen, denen Rollen zugewiesen werden können
- Anzeigen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen einschließlich Gruppen, denen Rollen zugewiesen werden können
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Anzeigen von Ankündigungen im Nachrichtencenter, aber nicht von sicherheitsrelevanten Ankündigungen
- Anzeigen der Dienstintegrität
Aktionen | BESCHREIBUNG |
---|---|
microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Yammer |
Veraltete Rollen
Die folgenden Rollen sollten nicht verwendet werden. Sie wurden als veraltet markiert und werden zukünftig aus Microsoft Entra ID entfernt.
- Ad-hoc-Lizenzadministrator
- Geräteeinbindung
- Geräte-Manager
- Gerätebenutzer
- Benutzererstellung mit E-Mail-Überprüfung
- Postfachadministrator
- Geräteeinbindung am Arbeitsplatz
Im Portal nicht angezeigte Rollen
Nicht jede Rolle, die von PowerShell oder der MS Graph-API zurückgegeben wird, wird Azure-Portal angezeigt. Diese Unterschiede sind in der folgenden Tabelle aufgelistet.
API-Name | Name im Azure-Portal | Notizen |
---|---|---|
Geräteeinbindung | Als veraltet markiert | Dokumentation zu veralteten Rollen |
Geräte-Manager | Als veraltet markiert | Dokumentation zu veralteten Rollen |
Gerätebenutzer | Als veraltet markiert | Dokumentation zu veralteten Rollen |
Verzeichnissynchronisierungskonten | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zu Konten für die Verzeichnissynchronisierung |
Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
Partnersupport der Ebene 1 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 1 |
Partnersupport der Ebene 2 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 2 |
Eingeschränkter Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
Benutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
Geräteeinbindung am Arbeitsplatz | Als veraltet markiert | Dokumentation zu veralteten Rollen |