Integrierte Rollen in Azure AD
Wenn ein anderer Administrator oder ein Benutzer ohne Administratorrechte Azure AD-Ressourcen in Azure Active Directory (Azure AD) verwalten muss, müssen Sie ihm einer Azure AD-Rolle zuweisen, die die erforderlichen Berechtigungen bereitstellt. Beispielsweise können Sie Rollen zuweisen, die das Hinzufügen oder Ändern von Benutzern, das Zurücksetzen von Benutzerkennwörtern, das Verwalten von Benutzerlizenzen oder das Verwalten von Domänennamen erlauben.
In diesem Artikel werden die in Azure AD integrierten Rollen aufgelistet, die Sie zuweisen können, um die Verwaltung von Azure AD-Ressourcen zuzulassen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure AD-Rollen zu Benutzern. Wenn Sie nach Rollen zum Verwalten von Azure-Ressourcen suchen, finden Sie weitere Informationen unter Integrierte Azure-Rollen.
Alle Rollen
| Role | BESCHREIBUNG | Vorlagen-ID |
|---|---|---|
| Anwendungsadministrator | Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Anwendungsentwickler | Erstellen von Anwendungsregistrierungen unabhängig von der Einstellung „Benutzer können Anwendungen registrieren“. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autor der Angriffsnutzdaten | Kann Angriffsnutzdaten erstellen, die ein Administrator später initiieren kann. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administrator für Angriffssimulation | Kann alle Aspekte von Angriffssimulationskampagnen erstellen und verwalten. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrator für Attributzuweisungen | Zuweisen von benutzerdefinierten Sicherheitsattributschlüsseln und -werten zu unterstützten Azure AD-Objekten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Leser für Attributzuweisungen | Lesen benutzerdefinierter Sicherheitsattributschlüssel und -werte für unterstützte Azure AD-Objekte. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrator für Attributdefinitionen | Definieren und Verwalten der Definition von benutzerdefinierten Sicherheitsattributen. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Leser für Attributdefinitionen | Lesen der Definition von benutzerdefinierten Sicherheitsattributen. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Authentifizierungsrichtlinienadministrator | Kann die Authentifizierungsmethodenrichtlinie, mandantenweite MFA-Einstellungen, die Kennwortschutzrichtlinie und überprüfbare Anmeldeinformationen erstellen und verwalten. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Lokaler Administrator für in Azure AD eingebundenes Gerät | Benutzer, die dieser Rolle zugewiesen wurden, werden der lokalen Administratorgruppe auf in Azure AD eingebundenen Geräten hinzugefügt. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps-Administrator | Kann Azure DevOps-Richtlinien und -Einstellungen verwalten. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-Administrator | Verwalten sämtlicher Aspekte des Produkts Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C-IEF-Schlüsselsatzadministrator | Kann Geheimnisse für Verbund und Verschlüsselung im Identity Experience Framework (IEF) verwalten. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C-IEF-Richtlinienadministrator | Kann Vertrauensframeworkrichtlinien im Identity Experience Framework (IEF) erstellen und verwalten. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Rechnungsadministrator | Ausführen von allgemeinen Abrechnungsaufgaben wie der Aktualisierung der Zahlungsinformationen. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security-Administrator | Kann alle Aspekte des Produkts Defender for Cloud Apps verwalten. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Cloudanwendungsadministrator | Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer App-Proxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Cloudgeräteadministrator | Hat eingeschränkten Zugriff auf die Verwaltung von Geräten in Azure AD. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Complianceadministrator | Lesen und Verwalten der Konformitätskonfiguration und der zugehörigen Berichte in Azure AD und Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Compliancedatenadministrator | Erstellt und verwaltet Complianceinhalte. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administrator für bedingten Zugriff | Verwalten von Funktionen zum bedingten Zugriff. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Genehmigende Person für den LockBox-Kundenzugriff | Kann Microsoft-Supportanfragen zum Zugriff auf Benutzerorganisationsdaten genehmigen. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics-Administrator | Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Verzeichnisleseberechtigte | Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Verzeichnissynchronisierungskonten | Nur vom Azure AD Connect-Dienst verwendet. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Verzeichnisschreibberechtigte | Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Domänennamenadministrator | Verwalten von Domänennamen lokal und in der Cloud. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-Administrator | Verwalten sämtlicher Aspekte des Produkts Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Edgeadministrator | Verwalten sämtlicher Aspekte von Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange-Administrator | Verwalten sämtlicher Aspekte des Produkts Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Administrator für Exchange-Empfänger | Erstellen oder Aktualisieren von Exchange Online-Empfängern in der Exchange Online-Organisation. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administrator für Benutzerflows mit externer ID | Kann alle Aspekte von Benutzerflows erstellen und verwalten. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administrator für Benutzerflowattribute mit externer ID | Kann das für alle Benutzerflows verfügbare Attributschema erstellen und verwalten. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Externer Identitätsanbieteradministrator | Kann Identitätsanbieter für die Verwendung in einem direkten Verbund konfigurieren. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Fabric-Administrator | Verwalten sämtlicher Aspekte der Produkte Fabric und Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Globaler Administrator | Verwalten sämtlicher Aspekte von Azure AD und Microsoft-Diensten, die Azure AD-Identitäten verwenden. |
62e90394-69f5-4237-9190-012177145e10 |
| Globaler Leser | Hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Global Secure Access-Administrator | Erstellen und verwalten Sie alle Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs, einschließlich der Verwaltung des Zugriffs auf öffentliche und private Endpunkte. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Gruppenadministrator | Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Gasteinladender | Einladen von Gastbenutzernunabhängig von der Einstellung „Mitglieder können Gäste einladen“. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Helpdeskadministrator | Zurücksetzen von Kennwörtern für Nicht-Administratoren und Helpdeskadministratoren. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybrididentitätsadministrator | Kann AD Azure AD Cloudbereitstellung, Azure AD Verbinden, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Anmelden (Seamless SSO) und Verbundeinstellungen verwalten. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance-Administrator | Verwaltet den Zugriff mithilfe von Azure AD für Identity Governance-Szenarien. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights Administrator | Administratorzugriff in der Microsoft 365 Insights-App. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights-Analyst | Greifen Sie auf die Analysefunktionen in Microsoft Viva Insights zu, und führen Sie benutzerdefinierte Abfragen aus. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Kann Dashboards und Erkenntnisse über die Microsoft 365 Insights-App anzeigen und freigeben. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune-Administrator | Verwalten sämtlicher Aspekte des Produkts Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala-Administrator | Kann Einstellungen für Microsoft Kaizala verwalten. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Wissensadministrator | Kann Wissens-, Lern- und andere intelligente Features konfigurieren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Wissens-Manager | Kann Themen und Wissen organisieren, erstellen, verwalten und bewerben. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Lizenzadministrator | Kann Produktlizenzen für Benutzer und Gruppen verwalten. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Lebenszyklus-Workflowadministrator | Erstellen und verwalten Sie alle Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Azure AD. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Nachrichtencenter-Datenschutzleseberechtigter | Kann Sicherheitsnachrichten und -updates nur im Office 365-Nachrichtencenter lesen. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Nachrichtencenter-Leseberechtigter | Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft-Hardwaregarantieadministrator | Erstellen und Verwalten von Garantieansprüchen und -berechtigungen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft Hardware Warranty Specialist | Erstellen und Lesen von Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Modern Commerce User | Kann kommerzielle Käufe für ein Unternehmen, eine Abteilung oder ein Team verwalten. | d24aef57-1500-4070-84db-2666f29cf966 |
| Netzwerkadministrator | Verwalten von Netzwerkstandorten und überprüfen von Erkenntnissen zum Entwurf des Unternehmensnetzwerks für Microsoft 365-SaaS-Anwendungen (Software-as-a-Service). | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office-Apps-Administrator | Kann Clouddienste für Office-Apps (einschließlich Richtlinien- und Einstellungsverwaltung) sowie Funktionen zum Auswählen, Aufheben der Auswahl und Veröffentlichen von Inhalten zu neuen Features auf Endbenutzergeräten verwalten. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Schreiber für Organisationsnachrichten | Schreiben, Veröffentlichen, Verwalten und Überprüfen von Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Partnersupport der Ebene 1 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Partnersupport der Ebene 2 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Kennwortadministrator | Kann Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Berechtigungsverwaltungsadministrator | Verwalten aller Aspekte der Entra-Berechtigungsverwaltung. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform-Administrator | Kann alle Aspekte von Microsoft Dynamics 365, Power Apps und Power Automate erstellen und verwalten. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Druckeradministrator | Verwalten sämtlicher Aspekte von Druckern und Druckerconnectors. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Druckertechniker | Registrieren von Druckern, Aufheben ihrer Registrierung und Aktualisieren des Druckerstatus. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Privilegierter Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrator für privilegierte Rollen | Kann Rollenzuweisungen in Azure AD sowie sämtliche Aspekte von Privileged Identity Management (PIM) verwalten. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Berichtleseberechtigter | Lesen von Anmeldungs- und Überwachungsberichten. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Suchadministrator | Kann alle Aspekte der Microsoft Search-Einstellungen erstellen und verwalten. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Such-Editor | Kann redaktionelle Inhalte wie Lesezeichen, Fragen und Antworten, Standorte und Grundrisse erstellen und verwalten. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Sicherheitsadministrator | Kann Sicherheitsinformationen und -berichte lesen und die Konfiguration in Azure AD und Office 365 verwalten. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Sicherheitsoperator | Erstellt und verwaltet Sicherheitsereignisse. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Sicherheitsleseberechtigter | Lesen von Sicherheitsinformationen und Berichten in Azure AD und Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Dienstsupportadministrator | Lesen von Service Health-Informationen und Verwalten von Supporttickets. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint-Administrator | Verwalten sämtlicher Aspekte des SharePoint-Diensts. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype for Business-Administrator | Verwalten sämtlicher Aspekte des Produkts Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
| Teams-Administrator | Kann den Microsoft Teams-Dienst verwalten. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams-Kommunikationsadministrator | Kann Anruf- und Besprechungsfunktionen im Microsoft Teams-Dienst verwalten. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Supporttechniker für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von erweiterten Tools behandeln. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Supportfachmann für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von allgemeinen Tools behandeln. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams-Geräteadministrator | Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Mandantenersteller | Erstellen Sie neue Azure AD- oder Azure AD B2C-Mandanten. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Leseberechtigter für Berichte mit Nutzungszusammenfassung | Kann in der Microsoft 365-Nutzungsanalyse und -Produktivitätsbewertung nur Aggregate auf Mandantenebene anzeigen. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Benutzeradministrator | Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administrator für virtuelle Besuche | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Besuche. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Goals-Administrator | Verwalten und konfigurieren Sie alle Aspekte von Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse-Administrator | Kann alle Einstellungen für Microsoft Viva Pulse App verwalten. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365-Administrator | Kann alle Aspekte von Cloud-PCs bereitstellen und verwalten. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update-Bereitstellungsadministrator | Kann alle Aspekte der Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer-Administrator | Verwalten Sie alle Aspekte des Yammer-Diensts. | 810a2642-a034-447f-a5e8-41beaa378541 |
Anwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Beachten Sie, dass Benutzer, denen diese Rolle zugewiesen wurde, bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt werden.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen mit Ausnahme von Anwendungsberechtigungen für die Microsoft Graph.
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Berechtigungen für andere Apps (z. B. nicht von Microsoft stammende Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien für die Anforderung zur Administratoreinwilligung in Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Azure AD registriert sind |
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxy/update | Aktualisieren aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualisieren der SSL-Zertifikateinstellungen für den Anwendungsproxy |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualisieren der URL-Einstellungen für den Anwendungsproxy |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/verification/update | Aktualisieren der applicationsverification-Eigenschaft |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/connectors/create | Erstellen von Anwendungsproxyconnectors |
| microsoft.directory/connectors/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors |
| microsoft.directory/connectorGroups/create | Erstellen von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/delete | Löschen von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Microsoft Graph) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Anwendungsentwickler
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Anwendungsregistrierungen erstellen, wenn die Einstellung „Benutzer können Anwendungen registrieren“ auf „Nein“ festgelegt ist. Diese Rolle ermöglicht auch die Berechtigung, im eigenen Namen zuzustimmen, wenn die Einstellung „Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen“ auf „Nein“ festgelegt ist. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen als Besitzer hinzugefügt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/createAsOwner | Erstellen aller Anwendungstypen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Erstellen von OAuth 2.0-Berechtigungszuweisungen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/servicePrincipals/createAsOwner | Erstellen von Dienstprinzipalen (Ersteller wird als erster Besitzer hinzugefügt) |
Autor der Angriffsnutzdaten
Benutzer in dieser Rolle können Angriffsnutzdaten erstellen, diese jedoch nicht tatsächlich starten oder planen. Die Angriffsnutzdaten stehen dann allen Administratoren im Mandanten zur Verfügung und können von diesen zum Erstellen einer Simulation verwendet werden.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
Administrator für Angriffssimulation
Benutzer mit dieser Rolle können alle Aspekte der Angriffssimulationserstellung, des Starts und der Planung einer Simulation und der Überprüfung der Simulationsergebnisse erstellen und verwalten. Mitglieder dieser Rolle besitzen diesen Zugriff für alle Simulationen im Mandanten.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator |
Administrator für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Azure AD-Objekte wie Benutzer, Dienstprinzipale und Geräte zuweisen und entfernen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Azure AD.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
| microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/devices/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
| microsoft.directory/users/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Leser für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Azure AD-Objekte lesen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Azure AD.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
| microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Administrator für Attributdefinitionen
Benutzer mit dieser Rolle können gültige benutzerdefinierte Sicherheitsattribute definieren, die unterstützten Azure AD-Objekten zugewiesen werden können. Diese Rolle kann auch benutzerdefinierte Sicherheitsattribute aktivieren und deaktivieren.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Azure AD.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Verwalten aller Aspekte von Attributsätzen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Verwalten aller Aspekte von benutzerdefinierten Sicherheitsattributdefinitionen |
Leser für Attributdefinitionen
Benutzer mit dieser Rolle können die Definition von benutzerdefinierten Sicherheitsattributen lesen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Azure AD.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für Nicht-Administratoren und einige andere Rollen. Eine Liste der Rollen, die ein Authentifizierungsadministrator lesen oder deren Authentifizierungsmethoden er aktualisieren kann, finden Sie unter Berechtigungen für die Kennwortzurücksetzung.
- Auffordern von Benutzern, die keine Administratoren sind oder die Rollen zugewiesen sind, ihre vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) erneut zu registrieren, und sie können auch Speichern der MFA auf dem Gerät widerrufen. Dann werden Benutzer bei der nächsten Anmeldung zur Eingabe ihrer MFA-Anmeldeinformationen aufgefordert.
- Durchführen vertraulicher Aktionen für einige Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Verwalten von MFA-Einstellungen im Legacy-MFA-Verwaltungsportal oder Hardware-OATH-Token. Die gleichen Funktionen können mithilfe des Cmdlets Set-MsolUser im Azure AD PowerShell-Modul erreicht werden.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Rolle | Verwalten der Authentifizierungsmethoden des Benutzers | Aktivieren der Multi-Factor Authentication (MFA) pro Benutzer | Verwalten der MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nein | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nein | Nein |
| Benutzeradministrator | Nein | Nein | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Azure Active Directory haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure AD und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Azure AD, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Authentifizierungsrichtlinienadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsrichtlinienadministrator“ zu:
- Konfigurieren der Authentifizierungsmethodenrichtlinie, von mandantenweite MFA-Einstellungen und der Kennwortschutzrichtlinie, die bestimmen, welche Methoden ein Benutzer registrieren und verwenden kann.
- Verwalten von Kennwortschutzeinstellungen: Smart Lockout-Konfigurationen und Aktualisieren der Liste der benutzerdefinierten gesperrten Kennwörter.
- Erstellen und Verwalten von Nachweisen.
- Erstellen und Verwalten von Azure-Supporttickets
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Aktualisieren vertraulicher Eigenschaften. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Löschen oder Wiederherstellen von Benutzern. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Verwalten von MFA-Einstellungen im Legacy-MFA-Verwaltungsportal oder Hardware-OATH-Token.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Rolle | Verwalten der Authentifizierungsmethoden des Benutzers | Aktivieren der Multi-Factor Authentication (MFA) pro Benutzer | Verwalten der MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nein | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nein | Nein |
| Benutzeradministrator | Nein | Nein | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Verwalten aller Aspekte von Eigenschaften für eine sichere Authentifizierung in einer Organisation |
| microsoft.directory/userCredentialPolicies/create | Erstellen von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/delete | Löschen von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/standard/read | Lesen der Standardeigenschaften von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/owners/read | Lesen der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Lesen des Navigationslinks „policy.appliesTo“ |
| microsoft.directory/userCredentialPolicies/basic/update | Aktualisieren grundlegender Richtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/owners/update | Aktualisieren der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualisieren der policy.isOrganizationDefault-Eigenschaft |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/create | Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/delete | Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
Lokaler Administrator für in Azure AD eingebundenes Gerät
Diese Rolle kann nur als zusätzlicher lokaler Administrator in den Geräteeinstellungen zugewiesen werden. Benutzer mit dieser Rolle werden auf allen Windows 10-Geräten, die in Azure Active Directory eingebunden sind, als Administratoren für den lokalen Computer festgelegt. Sie haben nicht die Möglichkeit zum Verwalten von Geräteobjekten in Azure Active Directory.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
Azure DevOps-Administrator
Benutzer mit dieser Rolle können alle Azure DevOps-Unternehmensrichtlinien verwalten, die für alle Azure DevOps-Organisationen gelten, die von Azure AD unterstützt werden. Benutzer mit dieser Rolle können diese Richtlinien verwalten, indem sie zu einer Azure DevOps-Organisation navigieren, die von Azure AD des Unternehmens unterstützt wird. Darüber hinaus können Benutzer in dieser Rolle den Besitz verwaister Azure DevOps-Organisationen beanspruchen. Diese Rolle gewährt keine anderen Azure DevOps-spezifischen Berechtigungen (z. B. Projektauflistungsadministratoren) in Azure DevOps-Organisationen, die von der Azure AD-Organisation des Unternehmens unterstützt werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Lesen und Konfigurieren von Azure DevOps |
Azure Information Protection-Administrator
Benutzer mit dieser Rolle besitzen alle Berechtigungen für den Azure Information Protection-Dienst. Sie können Bezeichnungen für die Azure Information Protection-Richtlinie konfigurieren, Schutzvorlagen verwalten und den Schutz aktivieren. Diese Rolle gewährt keine Berechtigungen für Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-Portal oder das Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
B2C-IEF-Schlüsselsatzadministrator
Dies ist eine privilegierte Rolle. Benutzer können die Richtlinienschlüssel und -geheimnisse für Tokenverschlüsselung, Tokensignaturen und Verschlüsselung/Entschlüsselung von Ansprüchen erstellen und verwalten. Durch das Hinzufügen neuer Schlüssel zu vorhandenen Schlüsselcontainern kann dieser Administrator mit eingeschränkten Rechten bei Bedarf Rollover für Geheimnisse ausführen, ohne dass dies Auswirkungen auf vorhandene Anwendungen hat. Diese Benutzer können den vollständigen Inhalt dieser Geheimnisse und deren Ablaufdaten anzeigen – auch nach deren Erstellung.
Wichtig
Dies ist eine sensible Rolle. Die Administratorrolle für Schlüsselsätze muss sorgfältig überwacht und mit Bedacht für Präproduktion und Produktion zugewiesen werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Lesen und Konfigurieren von Schlüsselsätzen in Azure Active Directory B2C |
B2C-IEF-Richtlinienadministrator
Benutzer mit dieser Rolle können alle benutzerdefinierten Richtlinien in Azure AD B2C erstellen, lesen, aktualisieren und löschen und haben daher vollständige Kontrolle über das Identity Experience Framework in der zugehörigen Azure AD B2C-Organisation. Durch das Bearbeiten von Richtlinien können diese Benutzer einen direkten Verbund mit externen Identitätsanbietern einrichten, das Verzeichnisschema und alle benutzerseitigen Inhalte (HTML, CSS, JavaScript) sowie die Anforderungen für das Abschließen einer Authentifizierung ändern, neue Benutzer erstellen, Benutzerdaten an externe Systeme senden (einschließlich einer vollständigen Migration) und alle Benutzerinformationen bearbeiten (einschließlich vertraulicher Felder wie Kennwörter und Telefonnummern). Andererseits kann diese Rolle keine Verschlüsselungsschlüssel ändern oder Geheimnisse für den Verbund in der Organisation bearbeiten.
Wichtig
Der B2-IEF-Richtlinienadministrator ist eine streng vertrauliche Rolle, die nur sehr wenigen Benutzern für Organisationen in der Produktion zugewiesen werden sollte. Aktivitäten dieser Benutzer sollten streng überwacht werden. Dies gilt vor allem für Organisationen in der Produktion.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Lesen und Konfigurieren benutzerdefinierter Richtlinien in Azure Active Directory B2C |
Abrechnungsadministrator
Tätigt Käufe, verwaltet Abonnements und Supporttickets und überwacht die Dienstintegrität.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/organization/basic/update | Aktualisieren grundlegender Eigenschaften für Organisationen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Office 365-Abrechnung |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloud App Security-Administrator
Benutzer mit dieser Rolle verfügen über vollständige Berechtigungen für Defender for Cloud-Apps. Sie können Administratoren, Microsoft Defender for Cloud-Apps-Richtlinien und -Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloudanwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben die gleichen Berechtigungen wie die Rolle des Anwendungsadministrators, mit Ausnahme der Möglichkeit, den Anwendungsproxy zu verwalten. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Unternehmensanwendungen und Anwendungsregistrierungen. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen mit Ausnahme von Anwendungsberechtigungen für die Microsoft Graph.
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Berechtigungen für andere Apps (z. B. nicht von Microsoft stammende Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien für die Anforderung zur Administratoreinwilligung in Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Azure AD registriert sind |
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/verification/update | Aktualisieren der applicationsverification-Eigenschaft |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Microsoft Graph) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloudgeräteadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Geräte in Azure AD aktivieren, deaktivieren und löschen sowie Windows 10-BitLocker-Schlüssel (falls vorhanden) im Azure-Portal lesen. Die Rolle gewährt keine Berechtigungen für die Verwaltung anderer Eigenschaften auf dem Gerät.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/delete | Löschen von Geräten aus Azure AD |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Azure AD |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Azure AD |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen Sie alle Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Azure AD eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien zur Geräteverwaltung |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungsrichtlinien der Geräteverwaltung |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
Complianceadministrator
Benutzer mit dieser Rolle verfügen über die Berechtigung zum Verwalten von compliancebezogenen Funktionen im Microsoft Purview-Complianceportal, im Microsoft 365 Admin Center, in Azure und im Microsoft 365 Defender-Portal. Zugewiesene Personen können auch alle Features im Exchange Admin Center verwalten und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Grundlegendes zum Microsoft Purview-Complianceportal | Schützen und Verwalten Ihrer Organisationsdaten für Microsoft 365-Dienste Verwalten von Konformitätwarnungen |
| Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
| Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Complianceadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
| Intune | Anzeigen aller Intune-Überwachungsdaten |
| Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen sämtlicher Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Konformitätsdaten
Benutzer mit dieser Rolle verfügen über Berechtigungen zum Nachverfolgen von Daten im Microsoft Purview Compliance Center, Microsoft 365 Admin Center und in Azure. Die Benutzer können auch Compliancedaten im Exchange Admin Center, in Compliance-Manager sowie im Teams und Skype for Business Admin Center nachverfolgen und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen zu den Unterschieden zwischen Complianceadministrator und Compliancedatenadministrator finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Konformität.
| Geben Sie in | Möglich |
|---|---|
| Grundlegendes zum Microsoft Purview-Complianceportal | Überwachen von compliancerelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Konformitätwarnungen |
| Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
| Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Compliancedatenadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
| Intune | Anzeigen aller Intune-Überwachungsdaten |
| Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für den bedingten Zugriff
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Azure Active Directory-Einstellungen für den bedingten Zugriff verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen des bedingten Zugriffs für Richtlinien |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualisieren der Besitzer von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualisieren des Standardmandanten für Richtlinien für den bedingten Zugriff |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
Genehmigende Person für den LockBox-Kundenzugriff
Verwaltet Microsoft Purview-Kunden-Lockbox-Anforderungen in Ihrer Organisation. Sie erhalten E-Mail-Benachrichtigungen für Kunden-Lockbox-Anforderungen und können Anforderungen über das Microsoft 365 Admin Center genehmigen und ablehnen. Außerdem können sie das Feature Kunden-Lockbox aktivieren und deaktivieren. Nur globale Administratoren können die Kennwörter von Personen zurücksetzen, die dieser Rolle zugewiesen sind.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Verwalten sämtlicher Aspekte der Kunden-Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Desktop Analytics-Administrator
Benutzer in dieser Rolle können den Desktop Analytics-Dienst verwalten. Dies umfasst die Möglichkeit zum Anzeigen des Assetbestands, Erstellen von Bereitstellungsplänen sowie zum Anzeigen des Bereitstellungs- und Integritätsstatus.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Verwalten sämtlicher Aspekte von Desktop Analytics |
Rolle „Verzeichnis lesen“
Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen. Diese Rolle sollte für folgende Zwecke verwendet werden:
- Gewähren von Lesezugriff für eine bestimmte Gruppe von Gastbenutzern statt für alle Gastbenutzer.
- Gewähren von Zugriff auf das Azure-Portal für eine bestimmten Gruppe von Benutzern ohne Administratorberechtigung, wenn „Zugriff auf Azure-Portal auf Administratoren beschränken“ auf „Ja“ festgelegt ist.
- Gewähren von Zugriff auf das Verzeichnis für Dienstprinzipale, wenn „Directory.Read.All“ keine Option darstellt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Lesen grundlegender Eigenschaften für Verwaltungseinheiten |
| microsoft.directory/administrativeUnits/members/read | Lesen der Mitglieder von Verwaltungseinheiten |
| microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
| microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
| microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
| microsoft.directory/contacts/standard/read | Lesen grundlegender Eigenschaften für Kontakte in Azure AD |
| microsoft.directory/contacts/memberOf/read | Lesen der Gruppenmitgliedschaft für alle Kontakte in Azure AD |
| microsoft.directory/contracts/standard/read | Lesen grundlegender Eigenschaften für Partnerverträge |
| microsoft.directory/devices/standard/read | Lesen grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/memberOf/read | Lesen von Gerätemitgliedschaften |
| microsoft.directory/devices/registeredOwners/read | Lesen von registrierten Besitzern von Geräten |
| microsoft.directory/devices/registeredUsers/read | Lesen von registrierten Benutzern von Geräten |
| microsoft.directory/directoryRoles/standard/read | Lesen grundlegender Eigenschaften in Azure AD-Rollen |
| microsoft.directory/directoryRoles/eligibleMembers/read | Lesen von berechtigten Mitgliedern von Azure AD-Rollen |
| microsoft.directory/directoryRoles/members/read | Lesen sämtlicher Mitglieder von Azure AD-Rollen |
| microsoft.directory/domains/standard/read | Lesen grundlegender Eigenschaften für Domänen |
| microsoft.directory/groups/standard/read | Lesen der Standardeigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen von Gruppen |
| microsoft.directory/groups/memberOf/read | Lesen der memberOf-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/read | Lesen der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/read | Lesen der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/read | Lesen der Einstellungen von Gruppen |
| microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Lesen grundlegender Eigenschaften für OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/organization/standard/read | Lesen grundlegender Eigenschaften für Organisationen |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Lesen von vertrauenswürdigen Zertifizierungsstellen für die kennwortlose Authentifizierung |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/roleAssignments/standard/read | Lesen grundlegender Eigenschaften für Rollenzuweisungen |
| microsoft.directory/roleDefinitions/standard/read | Lesen grundlegender Eigenschaften für Rollendefinitionen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/memberOf/read | Lesen von Gruppenmitgliedschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Lesen der Objekte im Besitz von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
| microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
| microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
| microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
| microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
| microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
| microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
| microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
| microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
| microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
| microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
| microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Azure AD Rolle, die für eine Verwaltungseinheit gilt |
| microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
Konten zur Verzeichnissynchronisierung
Dies ist eine privilegierte Rolle. Darf nicht verwendet werden. Diese Rolle wird automatisch dem Azure AD Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Azure AD |
| microsoft.directory/organization/dirSync/update | Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Azure AD |
| microsoft.directory/policies/create | Erstellen von Richtlinien in Azure AD |
| microsoft.directory/policies/delete | Löschen von Richtlinien in Azure AD |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/read | Lesen der Besitzer von Richtlinien |
| microsoft.directory/policies/policyAppliedTo/read | Lesen der policies.policyAppliedTo-Eigenschaft |
| microsoft.directory/policies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/update | Aktualisieren der Besitzer von Richtlinien |
| microsoft.directory/policies/tenantDefault/update | Aktualisieren von Standardorganisationsrichtlinien |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/memberOf/read | Lesen von Gruppenmitgliedschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Lesen der Objekte im Besitz von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
Verzeichnis schreiben
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können grundlegende Informationen von Benutzern, Gruppen und Dienstprinzipalen lesen und aktualisieren.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Azure Active Directory-Gruppen, die mit Azure AD Connect in die lokale Umgebung zurückgeschrieben werden sollen |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groupSettings/create | Create group settings (Gruppeneinstellungen erstellen) |
| microsoft.directory/groupSettings/delete | Delete group settings (Gruppeneinstellungen löschen) |
| microsoft.directory/groupSettings/basic/update | Aktualisieren grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/oAuth2PermissionGrants/create | Erstellen von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Aktualisieren von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/sponsors/update | Aktualisieren von Sponsoren von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
Domänennamenadministrator
Benutzer mit dieser Rolle können Domänennamen verwalten (lesen, hinzufügen, überprüfen, aktualisieren und löschen). Sie können auch Verzeichnisinformationen zu Benutzern, Gruppen und Anwendungen lesen, da diese Objekte Domänenabhängigkeiten besitzen. Bei lokalen Umgebungen können Benutzer mit dieser Rolle Domänennamen für den Verbund konfigurieren, sodass zugeordnete Benutzer immer lokal authentifiziert werden. Diese Benutzer können sich dann über einmaliges Anmelden (Single Sign-On, SSO) bei Azure AD-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Verbundeinstellungen müssen über Azure AD Connect synchronisiert werden, damit Benutzer auch über Berechtigungen zum Verwalten von Azure AD Connect verfügen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dynamics 365-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Dynamics 365 Online, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Verwenden von Dienstadministratorrollen zum Verwalten Ihres Mandanten.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Dynamics 365-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Dynamics 365-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Edgeadministrator
Benutzer mit dieser Rolle können die Unternehmenswebsiteliste erstellen und verwalten, die für den Internet Explorer-Modus in Microsoft Edge erforderlich ist. Diese Rolle gewährt Berechtigungen zum Erstellen, Bearbeiten und Veröffentlichen der Websiteliste und ermöglicht darüber hinaus den Zugriff auf die Verwaltung von Supporttickets. Weitere Informationen
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Exchange-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst verfügbar ist. Außerdem haben sie die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Exchange-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Exchange-Administrator“. Im Exchange Admin Center lautet sie „Exchange Online-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.exchange/allEntities/basic/allTasks | Verwalten sämtlicher Aspekte von Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Exchange-Empfänger
Benutzer mit dieser Rolle haben Lesezugriff auf Empfänger und Schreibzugriff auf die Attribute dieser Empfänger in Exchange Online. Weitere Informationen finden Sie unter Empfänger in Exchange Server.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Erstellen und Löschen aller Empfänger sowie Lesen und Aktualisieren aller Eigenschaften von Empfängern in Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Verwalten aller Aufgaben im Zusammenhang mit der Migration von Empfängern in Exchange Online |
Administrator für Benutzerflows mit externer ID
Benutzer mit dieser Rolle können Benutzerflows (auch als „integrierte“ Richtlinien bezeichnet) im Azure-Portal erstellen und verwalten. Sie können HTML-/CSS-/JavaScript-Inhalte anpassen, MFA-Anforderungen ändern, Ansprüche im Token auswählen, API-Connectors und ihre Anmeldeinformationen verwalten und Sitzungseinstellungen für alle Benutzerflows in der Azure AD-Organisation konfigurieren. Auf der anderen Seite bietet diese Rolle nicht die Möglichkeit, Benutzerdaten zu überprüfen oder Änderungen an Attributen vorzunehmen, die im Organisationsschema enthalten sind. Änderungen an Richtlinien des Identity Experience Framework (auch „benutzerdefinierte Richtlinien“ genannt) gehören ebenfalls nicht zum Berechtigungsumfang dieser Rolle.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Lesen und Konfigurieren von Benutzerflows in Azure Active Directory B2C |
Administrator für Benutzerflowattribute mit externer ID
Benutzer mit dieser Rolle können benutzerdefinierte Attribute, die für alle Benutzerflows in der Azure AD-Organisation verfügbar sind, hinzufügen und löschen. Daher können Benutzer mit dieser Rolle dem Benutzerschema neue Elemente hinzufügen und diese ändern und haben damit Einfluss auf das Verhalten aller Benutzerflows. Indirekt kann dies auch ändern, welche Daten von Benutzern abgefragt und letztendlich als Ansprüche an Anwendungen gesendet werden. Diese Rolle kann keine Benutzerflows bearbeiten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Lesen und Konfigurieren von Benutzerattributen in Azure Active Directory B2C |
Externer Identitätsanbieteradministrator
Dieser Administrator verwaltet den Verbund zwischen Azure AD-Organisationen und externen Identitätsanbietern. Benutzer mit dieser Rolle können neue Identitätsanbieter hinzufügen und alle verfügbaren Einstellungen (z.B. Authentifizierungspfad, Dienst-ID, zugewiesene Schlüsselcontainer) konfigurieren. Diese Benutzer können festlegen, dass die Azure AD-Organisation Authentifizierungen von externen Identitätsanbietern vertraut. Die resultierenden Auswirkungen auf die Benutzerumgebung hängt vom Typ der Organisation ab:
- Azure AD-Organisationen für Mitarbeiter und Partner: Das Hinzufügen eines Verbunds (z. B. mit Gmail) hat sofortige Auswirkungen auf alle Gasteinladungen, die noch nicht eingelöst wurden. Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer.
- Azure Active Directory B2C-Organisationen: Das Hinzufügen eines Verbunds (z. B. bei Facebook oder einer anderen Azure AD-Organisation) wirkt sich nicht sofort auf die Endbenutzerflows aus, sondern erst, wenn der Identitätsanbieter in einem Benutzerflow als Option hinzugefügt wird (auch bezeichnet als „integrierte Richtlinie“). Ein Beispiel finden Sie unter Konfigurieren eines Microsoft-Kontos als Identitätsanbieter. Um Benutzerflows zu ändern, ist die Rolle „B2C-Benutzerflowadministrator“ mit eingeschränkten Rechen erforderlich.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/identityProviders/allProperties/allTasks | Lesen und Konfigurieren von Identitätsanbietern in Azure Active Directory B2C |
Fabric-Administrator
Benutzer*innen mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Fabric und Power BI, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Grundlegendes zu Fabric-Administratorrollen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.powerApps.powerBI/allEntities/allTasks | Verwalten sämtlicher Aspekte von Fabric und Power BI |
Globaler Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben Zugriff auf alle Verwaltungsfunktionen in Azure Active Directory sowie auf Dienste, die Azure Active Directory-Identitäten wie das Microsoft 365 Defender-Portal, Microsoft Purview Compliance-Portal, Exchange Online, SharePoint Online und Skype for Business Online verwenden. Globale Administrator*innen können Verzeichnisaktivitätsprotokolle anzeigen. Zudem können globale Administratoren ihre Zugriffsrechte erhöhen, um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten. Dadurch erhalten sie mithilfe des entsprechenden Azure AD-Mandanten Vollzugriff auf alle Azure-Ressourcen. Die Person, die die Anmeldung für die Azure AD-Organisation vornimmt, wird ein globaler Administrator. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein. Globale Administratoren können das Kennwort für alle Benutzer und alle anderen Administratoren zurücksetzen. Ein globaler Administrator kann seine eigene Zuweisung als globaler Administrator nicht aufheben. Dadurch wird verhindert, dass eine Organisation über keine globalen Administratoren verfügt.
Hinweis
Als bewährte Methode empfiehlt Microsoft, dass Sie die Rolle "Globaler Administrator" weniger als fünf Personen in Ihrer Organisation zuweisen. Weitere Informationen finden Sie unter Bewährte Methoden für Azure AD-Rollen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Azure AD |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen aller überprüfbarer Ressourcen in Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien für die Anforderung zur Administratoreinwilligung in Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern). |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Azure AD registriert sind |
| microsoft.directory/applications/allProperties/allTasks | Erstellen und Löschen von Anwendungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/read | Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.directory/connectors/create | Erstellen von Anwendungsproxyconnectors |
| microsoft.directory/connectors/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors |
| microsoft.directory/connectorGroups/create | Erstellen von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/delete | Löschen von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/contacts/allProperties/allTasks | Erstellen und Löschen von Kontakten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/contracts/allProperties/allTasks | Erstellen und Löschen von Partnerkontakten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deletedItems/delete | Dauerhaftes Löschen von Objekten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems/restore | Wiederherstellen vorläufig gelöschter Objekte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/allProperties/allTasks | Erstellen und Löschen von Geräten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen Sie alle Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Azure AD eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien zur Geräteverwaltung |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungsrichtlinien der Geräteverwaltung |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/directoryRoles/allProperties/allTasks | Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Erstellen und Löschen von Azure AD-Rollenvorlagen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/groups/allProperties/allTasks | Erstellen und Löschen von Gruppen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupsAssignableToRoles/create | Erstellen einer Gruppe, der Rollen zugeordnet werden können |
| microsoft.directory/groupsAssignableToRoles/delete | Löschen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/restore | Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aktualisieren von Gruppen, denen Rollen zugeordnet werden können |
| microsoft.directory/groupSettings/allProperties/allTasks | Erstellen und Löschen von Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Erstellen und Löschen von Vorlagen für Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Azure AD |
| microsoft.directory/identityProtection/allProperties/allTasks | Erstellen und Löschen sämtlicher Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/organization/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften einer Organisation |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Azure AD |
| microsoft.directory/policies/allProperties/allTasks | Erstellen und Löschen von Richtlinien sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Verwalten sämtlicher Richtlinieneigenschaften für den bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Azure AD B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Azure AD B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren der Einstellungen für die Azure AD B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Azure AD B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/serviceAction/activateService | Ausführen der Aktion „Dienst aktivieren“ für einen Dienst |
| microsoft.directory/serviceAction/disableDirectoryFeature | Ausführen der Dienstaktion „Verzeichnisfunktion deaktivieren“ |
| microsoft.directory/serviceAction/enableDirectoryFeature | Ausführen der Dienstaktion „Verzeichnisfunktion aktivieren“ |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Ausführen der Dienstaktion „getAvailableExtentionProperties“ |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Erstellen und Löschen von Dienstprinzipalen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Erwerben und Verwalten von Abonnements sowie Löschen von Abonnements |
| microsoft.directory/users/allProperties/allTasks | Erstellen und Löschen von Benutzern sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/permissionGrantPolicies/create | Erstellen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/delete | Löschen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/servicePrincipalCreationPolicies/create | Erstellen von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Löschen von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Aktualisieren grundlegender Eigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/tenantManagement/tenants/create | Erstellen neuer Mandanten in Azure Active Directory |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/create | Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/delete | Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Azure AD |
| microsoft.directory/pendingExternalUserProfiles/create | Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Office 365-Abrechnung |
| microsoft.commerce.billing/purchases/standard/read | Kaufdienste im M365 Admin Center lesen |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Entra-Netzwerkzugriffs |
| microsoft.flow/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Power Automate |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten |
| microsoft.insights/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Insights-App |
| microsoft.intune/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Verwalten sämtlicher Aspekte von Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Verwalten sämtlicher Aspekte von Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App. |
| microsoft.office365.lockbox/allEntities/allTasks | Verwalten sämtlicher Aspekte der Kunden-Lockbox |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Security & Compliance Center |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.userCommunication/allEntities/allTasks | Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Verwalten aller Aspekte der Entra-Berechtigungsverwaltung |
| microsoft.powerApps/allEntities/allTasks | Verwalten sämtlicher Aspekte von Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Verwalten sämtlicher Aspekte von Fabric und Power BI |
| microsoft.azure.print/allEntities/allProperties/allTasks | Verwalten aller Ressourcen in Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Goals verwalten |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Pulse verwalten |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts |
Globaler Leser
Dies ist eine privilegierte Rolle. Benutzer in dieser Rolle können in Microsoft 365-Diensten Einstellungen und administrative Informationen lesen, aber keine Verwaltungsaktionen ausführen. Die Rolle „Globaler Leser“ ist das Gegenstück zu „Globaler Administrator“, hat jedoch nur Leseberechtigungen. Weisen Sie die Rolle „Globaler Leser“ anstelle der Rolle „Globaler Administrator“ für Planungen, Audits oder Untersuchungen zu. Kombinieren Sie die Rolle „Globaler Leser“ mit anderen eingeschränkten Administratorrollen (z. B. Exchange-Administrator), um die Arbeit zu vereinfachen, ohne die Rolle „Globaler Administrator“ verwenden zu müssen. Die Rolle „Globaler Leser“ funktioniert mit Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, Teams Admin Center, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal, Azure-Portal und Device Management Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Kein Zugriff auf den Bereich „Kaufdienste“ im Microsoft 365 Admin Center.
Hinweis
Für die Rolle „Globaler Leser“ gelten die folgenden Einschränkungen:
- OneDrive Admin Center: OneDrive Admin Center unterstützt die Rolle „Globaler Leser“ nicht.
- Microsoft 365 Admin Center: Die Rolle „Globaler Leser“ kann integrierte Apps nicht lesen. Die Registerkarte Integrierte Apps wird im linken Bereich des Microsoft 365 Admin Centers unter Einstellungen nicht angezeigt.
- Microsoft 365 Defender-Portal: Die Rolle „Globaler Leser“ kann weder SCC-Überwachungsprotokolle lesen, noch eine Inhaltssuche durchführen oder die Sicherheitsbewertung anzeigen.
- Teams Admin Center: Die Rolle „Globaler Leser“ kann den Teams-Lebenszyklus, Analysen und Berichte, die IP-Telefon-Geräteverwaltung und den App-Katalog nicht lesen. Weitere Informationen finden Sie unter Verwenden von Teams-Administratorrollen zum Verwalten von Microsoft Teams.
- Privileged Access Management unterstützt die Rolle „Globaler Leser“ nicht.
- Azure Information Protection: Die Rolle „Globaler Leser“ wird nur für die zentrale Berichterstellung unterstützt, wenn sich Ihre Azure AD-Organisation nicht auf der Plattform für einheitliche Bezeichnungen befindet.
- SharePoint: „Globaler Leser“ kann derzeit nicht per PowerShell auf SharePoint zugreifen.
- Power Platform Admin Center - Der globale Leser wird im Power Platform Admin Center noch nicht unterstützt.
- Microsoft Purview unterstützt nicht die Rolle „Globaler Leser“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Veraltet) Lesen aller Eigenschaften von Zugriffsüberprüfungen |
| microsoft.directory/accessReviews/definitions/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Lesen aller Eigenschaften von Richtlinien für die Anforderung zur Administratoreinwilligung in Azure AD |
| microsoft.directory/administrativeUnits/allProperties/read | Lesen aller Eigenschaften von Verwaltungseinheiten, einschließlich Mitgliedern |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Azure AD registriert sind |
| microsoft.directory/applications/allProperties/read | Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) aller Anwendungstypen |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/cloudAppSecurity/allProperties/read | Lesen aller Eigenschaften für Defender for Cloud-Apps |
| microsoft.directory/connectors/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors |
| microsoft.directory/connectorGroups/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/contacts/allProperties/read | Lesen sämtlicher Eigenschaften für Kontakte |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Lesen von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen Sie alle Eigenschaften der Anmeldeinformationen für das gesicherte lokale Administratorkonto für in Azure AD eingebundene Geräte mit Ausnahme des Kennworts. |
| microsoft.directory/devices/allProperties/read | Alle Eigenschaften von Geräten lesen |
| microsoft.directory/directoryRoles/allProperties/read | Lesen aller Eigenschaften von Verzeichnisrollen |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Lesen aller Eigenschaften von Verzeichnisrollenvorlagen |
| microsoft.directory/domains/allProperties/read | Lesen sämtlicher Eigenschaften von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen sämtlicher Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/groups/allProperties/read | Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Sicherheits- und Microsoft 365-Gruppen (einschließlich Gruppen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groupSettings/allProperties/read | Lesen sämtlicher Eigenschaften von Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/allProperties/read | Lesen sämtlicher Eigenschaften von Vorlagen für Gruppeneinstellungen |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Lesen sämtlicher Eigenschaften für die Anmeldeseite Ihrer Organisation mit Branding |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Lesen sämtlicher Eigenschaften von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/organization/allProperties/read | Lesen sämtlicher Eigenschaften für eine Organisation |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/policies/allProperties/read | Alle Eigenschaften von Richtlinien lesen |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Lesen sämtlicher Richtlinieneigenschaften für den bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien zur Geräteverwaltung |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/roleAssignments/allProperties/read | Lesen aller Eigenschaften von Rollenzuweisungen |
| microsoft.directory/roleDefinitions/allProperties/read | Lesen aller Eigenschaften von Rollendefinitionen |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Anzeigen der Mitglieder von Verwaltungseinheiten |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Ausführen der Dienstaktion „getAvailableExtentionProperties“ |
| microsoft.directory/servicePrincipals/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/subscribedSkus/allProperties/read | Lesen sämtlicher Eigenschaften von Produktabonnements |
| microsoft.directory/users/allProperties/read | Lesen sämtlicher Eigenschaften von Benutzern |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Lesen aller Eigenschaften von Lebenszyklus-Workflows und Aufgaben in Azure AD |
| microsoft.cloudPC/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Lesen sämtlicher Ressourcen der Office 365-Abrechnung |
| microsoft.commerce.billing/purchases/standard/read | Kaufdienste im M365 Admin Center lesen |
| microsoft.edge/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/read | Alle Aspekte des Entra-Netzwerkzugriffs lesen |
| microsoft.hardware.support/shippingAddress/allProperties/read | Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.insights/allEntities/allProperties/read | Lesen aller Aspekte von Viva Insights |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Lesen aller Eigenschaften im Security & Compliance Center |
| microsoft.office365.securityComplianceCenter/allEntities/read | Lesen von Standardeigenschaften im Microsoft 365 Security and Compliance Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Lesen aller Aspekte der Entra-Berechtigungsverwaltung |
| microsoft.teams/allEntities/allProperties/read | Lesen aller Eigenschaften von Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Lesen aller Aspekte von Virtual Visits |
| microsoft.viva.goals/allEntities/allProperties/read | Alle Aspekte von Microsoft Viva Goals lesen |
| microsoft.viva.pulse/allEntities/allProperties/read | Alle Aspekte von Microsoft Viva Pulse lesen |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Lesen aller Aspekte des Windows Update-Diensts |
Global Secure Access-Administrator
Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Global Secure Access-Administrator“ zu:
- Erstellen und Verwalten aller Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs
- Verwalten des Zugriffs auf öffentliche und private Endpunkte
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Sie können Unternehmensanwendungen, Anwendungsregistrierungen, bedingten Zugriff oder Anwendungsproxyeinstellungen nicht verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
| microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
| microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen des bedingten Zugriffs für Richtlinien |
| microsoft.directory/connectorGroups/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen |
| microsoft.directory/connectors/allProperties/read | Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Entra-Netzwerkzugriffs |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gruppenadministrator
Benutzer mit dieser Rolle können Gruppen und die zugehörigen Einstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten. Es ist wichtig zu verstehen, dass der Benutzer durch die Zuweisung dieser Rolle alle Gruppen in der Organisation nicht nur in Outlook, sondern in verschiedenen Workloads wie Teams, SharePoint und Yammer verwalten kann. Außerdem kann der Benutzer die verschiedenen Gruppeneinstellungen in verschiedenen Verwaltungsportalen wie Microsoft Admin Center und dem Azure-Portal sowie den workloadspezifischen Portalen wie Teams Admin Center und SharePoint Admin Center verwalten.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Dauerhaftes Löschen von Gruppen, die nicht mehr wiederhergestellt werden können. |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Azure Active Directory-Gruppen, die mit Azure AD Connect in die lokale Umgebung zurückgeschrieben werden sollen |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gasteinladender
Wenn die Benutzereinstellung Mitglieder können einladen auf „Nein“ festgelegt ist, können Benutzer in dieser Rolle Azure Active Directory B2B-Gastbenutzereinladungen verwalten. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Was ist die Azure AD B2B-Zusammenarbeit?. Es sind keine anderen Berechtigungen eingeschlossen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
| microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
| microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
| microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
| microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
| microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
| microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
| microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
| microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
| microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
| microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Azure AD Rolle, die für eine Verwaltungseinheit gilt |
| microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
Helpdeskadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Kennwörter ändern, Aktualisierungstoken für ungültig erklären, Supportanfragen bei Microsoft für Azure- und Microsoft 365-Dienste verwalten und die Dienstintegrität überwachen. Wenn ein Aktualisierungstoken für ungültig erklärt wird, muss sich der Benutzer erneut anmelden. Ob ein Helpdeskadministrator das Kennwort eines Benutzers zurücksetzen und Aktualisierungstoken ungültig machen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Helpdeskadministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Azure Active Directory haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Helpdeskadministratoren nicht gewährt werden. So kann ein Helpdeskadministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die möglicherweise auf vertrauliche oder private Informationen oder kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure AD und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Azure AD, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Das Delegieren von administrativen Berechtigungen für Teilmengen von Benutzern und das Anwenden von Richtlinien auf eine Teilmenge der Benutzer kann über Verwaltungseinheiten erfolgen.
Im Azure-Portal hieß diese Rolle früher „Kennwortadministrator“. Sie wurde in „Helpdesk-Administrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen Sie alle Eigenschaften der Anmeldeinformationen für das gesicherte lokale Administratorkonto für in Azure AD eingebundene Geräte mit Ausnahme des Kennworts. |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Hybrididentitätsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können das Setup der Bereitstellungskonfiguration von AD in Azure AD mithilfe der Cloudbereitstellung erstellen, verwalten und bereitstellen sowie Azure AD Verbinden, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Sign-On (nahtloses SSO) und Verbundeinstellungen verwalten. Mit dieser Rolle können Benutzer auch Probleme beheben und Protokolle überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Lesen und Konfigurieren aller Eigenschaften des Azure AD-Cloudbereitstellungsdiensts |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/domains/allProperties/read | Lesen sämtlicher Eigenschaften von Domänen |
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Azure AD |
| microsoft.directory/organization/dirSync/update | Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Azure AD |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/users/authorizationInfo/update | Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Identity Governance-Administrator
Benutzer mit dieser Rolle können die Azure AD Identity Governance-Konfiguration verwalten. Dies schließt die Verwaltung von Zugriffspaketen, Zugriffsüberprüfungen, Katalogen und Richtlinien ein. So kann sichergestellt werden, dass der Zugriff genehmigt und überprüft wurde und Gastbenutzer entfernt werden, wenn sie keinen Zugriff mehr benötigen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/allProperties/allTasks | (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
Insights Administrator
Benutzer mit dieser Rolle können auf alle administrativen Funktionen in der Microsoft Viva Insights-App zugreifen. Diese Rolle kann Verzeichnisinformationen lesen, die Dienstintegrität überwachen, Supporttickets einordnen und auf die Einstellungsaspekte für Insights-Administratoren zugreifen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.insights/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Insights-App |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights-Analyst
Weisen Sie die Rolle Insights-Analyst den Benutzern zu, die Folgendes tun müssen:
- Analysieren von Daten in der Microsoft Viva Insights-App, sie können jedoch keine Konfigurationseinstellungen verwalten
- Erstellen, Verwalten und Ausführen von Abfragen
- Anzeigen von Grundeinstellungen und Berichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Ausführen und Verwalten von Abfragen in Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights Business Leader
Benutzer mit dieser Rolle können über die Microsoft Viva Insights-App auf eine Gruppe von Dashboards und Erkenntnisse zugreifen. Dies umfasst Vollzugriff auf alle Dashboards und die dargestellten Funktionen für Erkenntnisse sowie das Durchsuchen von Daten. Benutzer mit dieser Rolle haben keinen Zugriff auf die Einstellungen für die Produktkonfiguration, für die die Rolle „Insights-Administrator“ zuständig ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.insights/reports/allProperties/read | Anzeigen von Berichten und Dashboards in der Insights-App |
| microsoft.insights/programs/allProperties/update | Bereitstellen und Verwalten von Programmen in der Insights-App |
Intune-Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Intune Online, wenn der Dienst verfügbar ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Mit dieser Rolle können alle Sicherheitsgruppen erstellt und verwaltet werden. Der Intune-Administrator besitzt jedoch keine Administratorrechte für Office-Gruppen. Der Administrator kann also keine Besitzer oder Mitgliedschaften aller Office-Gruppen in der Organisation aktualisieren. Im Rahmen seiner Endbenutzerberechtigungen kann er allerdings die von ihm erstellte Office-Gruppe verwalten. Daher zählt jede von ihm erstellte Office-Gruppe (nicht Sicherheitsgruppe) zu seinem Kontingent von 250 Stück.
Hinweis
In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Intune-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Intune-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/create | Erstellen von Geräten (bei Azure AD registrieren) |
| microsoft.directory/devices/delete | Löschen von Geräten aus Azure AD |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Azure AD |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Azure AD |
| microsoft.directory/devices/basic/update | Aktualisieren grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten |
| microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
| microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen Sie alle Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Azure AD eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien zur Geräteverwaltung |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/classification/update | Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.intune/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Kaizala-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen zum Verwalten von Einstellungen in Microsoft Kaizala, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Darüber hinaus können diese Benutzer auf Berichte zur Einführung und Nutzung von Kaizala durch Mitglieder der Organisation sowie auf Geschäftsberichte zugreifen, die mithilfe von Kaizala-Aktionen generiert wurden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissensadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Einstellungen für Wissens-, Lern- und intelligenten Features im Microsoft 365 Admin Center. Sie verfügen über ein allgemeines Verständnis der Produktsuite und der Lizenzierungsdetails und sind für die Zugriffssteuerung verantwortlich. Der Wissensadministrator kann Inhalte wie Themen, Akronyme und Lernressourcen erstellen und verwalten. Darüber hinaus können diese Benutzer Inhaltscenter erstellen, die Dienstintegrität überwachen und Service Requests erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Lesen aller Eigenschaften von Vertraulichkeitsbezeichnungen im Security and Compliance Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissens-Manager
Benutzer in dieser Rolle können Inhalte wie Themen, Akronyme und Lerninhalte erstellen und verwalten. Diese Benutzer sind in erster Linie für die Qualität und Struktur von Wissen zuständig. Dieser Benutzer hat vollständige Rechte für Themenverwaltungsaktionen zum Bestätigen eines Themas, Genehmigen von Bearbeitungen oder Löschen eines Themas. Diese Rolle kann auch Taxonomien im Rahmen des Begriffs „Speicherverwaltungstool“ verwalten und Inhaltscenter erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lizenzadministrator
Benutzer mit dieser Rolle können Lizenzzuweisungen für Benutzer und Gruppen (unter Verwendung der gruppenbasierten Lizenzierung) lesen, hinzufügen, entfernen und aktualisieren sowie den Verwendungsstandort für Benutzer verwalten. Mit dieser Rolle ist es nicht möglich, Abonnements zu erwerben oder zu verwalten, Gruppen zu erstellen oder zu verwalten oder Benutzer zu erstellen oder zu verwalten (mit Ausnahme des Verwendungsstandorts). Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/usageLocation/update | Aktualisieren des Verwendungsstandorts von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lebenszyklus-Workflowadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Lebenszyklus-Workflowadministrator zu:
- Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Azure AD
- Überprüfen der Ausführung geplanter Workflows
- Starten von On-Demand-Workflowausführungen
- Überprüfen von Workflowausführungsprotokollen
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Azure AD |
| microsoft.directory/organization/strongAuthentication/read | Lesen von Eigenschaften für eine sichere Authentifizierung in einer Organisation |
Nachrichtencenter-Datenschutzleseberechtigter
Benutzer mit dieser Rolle können alle Benachrichtigungen im Nachrichtencenter überwachen, einschließlich Nachrichten zum Datenschutz. Nachrichtencenter-Datenschutzleseberechtigte erhalten E-Mail-Benachrichtigungen, einschließlich Nachrichten zum Datenschutz, und können Benachrichtigungen mithilfe der Einstellungen im Nachrichtencenter abbestellen. Nur der globale Administrator und Nachrichtencenter-Datenschutzleseberechtigte können Nachrichten zum Datenschutz lesen. Darüber hinaus umfasst diese Rolle die Berechtigung zum Anzeigen von Gruppen, Domänen und Abonnements. Diese Rolle umfasst keine Berechtigung zum Anzeigen, Erstellen oder Verwalten von Service Requests.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Nachrichtencenter-Leser
Benutzer mit dieser Rolle können Benachrichtigungen und empfohlene Integritätsupdates für ihre Organisation und die konfigurierten Dienste wie Exchange, Intune und Microsoft Teams im Nachrichtencenter überwachen. Nachrichtencenter-Leser erhalten eine wöchentliche E-Mail-Übersicht der Beiträge und Updates und können Beiträge in Microsoft 365 teilen. In Azure AD haben Benutzer mit dieser Rolle nur schreibgeschützten Zugriff auf Azure AD-Dienste wie Benutzer und Gruppen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft-Hardwaregarantieadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft-Hardwaregarantieadministrator“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Suchen nach und Lesen von offenen oder abgeschlossenen Garantieansprüchen
- Suchen nach und Lesen von Garantieansprüchen nach Seriennummer
- Erstellen, Lesen, Aktualisieren und Löschen von Lieferadressen
- Lesen des Lieferstatus für offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Lesen von Ankündigungen des Nachrichtencenters im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie- & Serviceanfragen für Ihre Surface-Hardware.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft Hardware Warranty Specialist
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft Hardware Warranty Specialist“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Lesen der von ihnen erstellten Garantieansprüche
- Lesen und Aktualisieren vorhandener Lieferadressen
- Lesen des Lieferstatus für von ihnen erstellte offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie- & Serviceanfragen für Ihre Surface-Hardware.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Microsoft-Hardwaregarantieansprüche erstellen, bei denen der Ersteller der Besitzer ist |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-Hardwaregarantieansprüche lesen |
Modern Commerce User
Darf nicht verwendet werden. Diese Rolle wird automatisch von Commerce zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt. Die Details hierzu finden Sie unten.
Mit der Rolle „Modern Commerce User“ sind bestimmte Benutzer berechtigt, auf Microsoft 365 Admin Center zuzugreifen und die Navigationseinträge links für Home, Abrechnung und Support anzuzeigen. Der in diesen Bereichen verfügbare Inhalt wird von commercespezifischen Rollen gesteuert, die Benutzern zugewiesen werden, um Produkte zu verwalten, die sie für sich selbst oder für Ihre Organisation gekauft haben. Dies kann Aufgaben wie das Bezahlen von Rechnungen oder den Zugriff auf Abrechnungskonten und Abrechnungsprofile umfassen.
Benutzer mit der Rolle „Modern Commerce-Benutzer“ verfügen in der Regel über administrative Berechtigungen in anderen Microsoft-Einkaufssystemen, jedoch nicht über die Rollen „Globaler Administrator“ oder „Abrechnungsadministrator“, die für den Zugriff auf Admin Center verwendet werden.
Wann wird die Rolle „Modern Commerce User“ zugewiesen?
- Self-Service-Käufe in Microsoft 365 Admin Center: Self-Service-Käufe bieten Benutzern die Möglichkeit, neue Produkte zu testen, indem sie sich diese Produkte selbst kaufen oder sich dafür registrieren. Diese Produkte werden in Admin Center verwaltet. Benutzern, die einen Self-Service-Kauf tätigen, werden eine Rolle im Commercesystem und die Rolle „Modern Commerce User“ zugewiesen, damit sie ihre Käufe in Admin Center verwalten können. Administrator*innen können über PowerShell Self-Service-Käufe (für Fabric, Power BI, Power Apps, Power Automate) blockieren. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Self-Service-Einkäufen.
- Käufe über den kommerziellen Microsoft Marketplace: Wenn ein Benutzer ein Produkt oder einen Dienst von Microsoft AppSource oder im Azure Marketplace kauft, wird ihm ähnlich wie beim Self-Service-Kauf die Rolle „Modern Commerce-Benutzer“ zugewiesen, sofern er nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt. In einigen Fällen werden Benutzer möglicherweise daran gehindert, diese Käufe durchzuführen. Weitere Informationen finden Sie unter Kommerzieller Microsoft Marketplace.
- Vorschläge von Microsoft: Ein Vorschlag ist ein formales Angebot von Microsoft für Ihre Organisation für den Kauf von Microsoft-Produkten und -Diensten. Wenn die Person, die den Vorschlag annimmt, nicht in Azure AD über eine der Rollen „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt, wird ihr eine commercespezifische Rolle zugewiesen, um den Vorschlag abzuschließen, sowie die Rolle „Modern Commerce-Benutzer“ für den Zugriff auf Admin Center. Wenn diese Person auf Admin Center zugreifen, kann sie nur Funktionen verwenden, die von ihrer commercespezifischen Rolle autorisiert werden.
- Commercespezifische Rollen: Einigen Benutzern werden commercespezifische Rollen zugewiesen. Wenn ein Benutzer kein globaler Administrator oder Abrechnungsadministrator ist, erhält er die Rolle „Modern Commerce-Benutzer“, damit er auf Admin Center zugreifen kann.
Wenn die Zuweisung der Rolle „Modern Commerce User“ für einen Benutzer aufgehoben wird, verliert er den Zugriff auf Microsoft 365 Admin Center. Wenn er Produkte entweder für sich selbst oder für Ihre Organisation verwaltet hat, kann er die Verwaltung nicht fortsetzen. Dies kann das Zuweisen von Lizenzen, das Ändern von Zahlungsmethoden, das Bezahlen von Rechnungen oder andere Aufgaben zum Verwalten von Abonnements umfassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Verwalten sämtlicher Aspekte des Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/basic/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Netzwerkadministrator
Benutzer mit dieser Rolle können Empfehlungen zur Netzwerkumkreisarchitektur von Microsoft überprüfen, die auf Netzwerktelemetriedaten von ihren Benutzerstandorten basieren. Die Netzwerkleistung für Microsoft 365 basiert auf einer sorgfältigen Netzwerkumkreisarchitektur für Unternehmenskunden, die im Allgemeinen für den Benutzerstandort spezifisch ist. Diese Rolle ermöglicht das Bearbeiten von ermittelten Benutzerstandorten und das Konfigurieren von Netzwerkparametern für diese Standorte, um verbesserte Telemetriemessungen und Entwurfsempfehlungen zu ermöglichen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Verwalten sämtlicher Aspekte von Netzwerkstandorten |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Office-Apps-Administrator
Benutzer mit dieser Rolle können die Cloudeinstellungen von Microsoft 365-Apps verwalten. Dazu gehören die Verwaltung von Cloudrichtlinien, die Self-Service-Downloadverwaltung und die Möglichkeit, Office-Apps-bezogene Berichte anzuzeigen. Diese Rolle ermöglicht es außerdem, Supporttickets zu verwalten und die Dienstintegrität im Haupt-Admin Center zu überwachen. Benutzer, denen diese Rolle zugewiesen ist, können außerdem Mitteilungen zu neuen Features in Office-Apps verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.userCommunication/allEntities/allTasks | Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Schreiber für Organisationsnachrichten
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Schreiber für Organisationsnachrichten“ zu:
- Schreiben, Veröffentlichen und Löschen von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Verwalten von Optionen für die Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Lesen der Ergebnisse der Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Anzeigen von Verwendungsberichten und der meisten Einstellungen im Microsoft 365 Admin Center. Änderungen können aber nicht vorgenommen werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten |
| microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Partnersupport der Ebene 1
Dies ist eine privilegierte Rolle. Darf nicht verwendet werden. Diese Rolle wurde als veraltet markiert und wird aus Azure AD entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Partnersupport der Ebene 2
Dies ist eine privilegierte Rolle. Darf nicht verwendet werden. Diese Rolle wurde als veraltet markiert und wird aus Azure AD entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann für Benutzer mit und ohne Administratorrechte (einschließlich globale Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/organization/basic/update | Aktualisieren grundlegender Eigenschaften für Organisationen |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Kennwortadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben eingeschränkte Möglichkeiten zum Verwalten von Kennwörtern. Mit dieser Rolle werden keine Berechtigungen zum Verwalten von Dienstanforderungen oder zum Überwachen der Dienstintegrität gewährt. Ob ein Kennwortadministrator das Kennwort eines Benutzers zurücksetzen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Kennwortadministrator Kennwörter zurücksetzen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Berechtigungsverwaltungsadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Berechtigungsverwaltungsadministrator“ zu:
- Verwalten aller Aspekte der Entra-Berechtigungsverwaltung, sofern der Dienst vorhanden ist
Weitere Informationen zu Berechtigungsverwaltungsrollen und -richtlinien finden Sie im Artikel zum Anzeigen von Informationen zu Rollen/Richtlinien.
| Aktionen | Beschreibung |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Verwalten aller Aspekte der Entra-Berechtigungsverwaltung |
Power Platform-Administrator
Benutzer in dieser Rolle können alle Aspekte von Umgebungen, Power Apps, Flows und Richtlinien zur Verhinderung von Datenverlust erstellen und verwalten. Darüber hinaus verfügen Benutzer mit dieser Rolle über die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.powerApps/allEntities/allTasks | Verwalten sämtlicher Aspekte von Power Apps |
Druckeradministrator
Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte sämtlicher Druckerkonfigurationen in der Microsoft-Lösung für universelles Drucken verwalten, einschließlich der Connectoreinstellungen für universelles Drucken. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Erstellen und Löschen von Druckern und Connectors sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Print |
Druckertechniker
Benutzer mit dieser Rolle können Drucker registrieren und den Druckerstatus in der Microsoft-Lösung für universelles Drucken verwalten. Sie können außerdem alle Connectorinformationen lesen. Zu den Hauptaufgaben, die ein Druckertechniker nicht ausführen kann, gehören das Festlegen von Benutzerberechtigungen für Drucker sowie das Freigeben von Druckern.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Lesen aller Eigenschaften von Connectors in Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Lesen aller Eigenschaften von Druckern in Microsoft Print |
| microsoft.azure.print/printers/register | Registrieren von Druckern in Microsoft Print |
| microsoft.azure.print/printers/unregister | Aufheben der Registrierung von Druckern in Microsoft Print |
| microsoft.azure.print/printers/basic/update | Aktualisieren grundlegender Eigenschaften von Druckern in Microsoft Print |
Privilegierter Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „privilegierter Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für jeden Benutzer (einschließlich globale Administratoren).
- Löschen oder Wiederherstellen von Benutzern, einschließlich globaler Administratoren. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erzwingen einer erneuten Registrierung von Benutzern anhand von vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) und Widerrufen der Einstellung Speichern der MFA auf dem Gerät, sodass alle Benutzer beim nächsten Anmeldevorgang zur MFA aufgefordert werden.
- Aktualisieren vertraulicher Eigenschaften für alle Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten der MFA pro Benutzer im Legacy-MFA-Verwaltungsportal. Die gleichen Funktionen können mithilfe des Cmdlets Set-MsolUser im Azure AD PowerShell-Modul erreicht werden.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Rolle | Verwalten der Authentifizierungsmethoden des Benutzers | Aktivieren der Multi-Factor Authentication (MFA) pro Benutzer | Verwalten der MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nein | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nein | Nein |
| Benutzeradministrator | Nein | Nein | Nein | Nein | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Azure Active Directory haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure AD und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Azure AD, z. B. Exchange Online, Microsoft 365 Defender-Portal und Microsoft Purview-Complianceportal sowie Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/read | Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/authorizationInfo/update | Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für privilegierte Rollen
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Rollenzuweisungen in Azure Active Directory und Azure AD Privileged Identity Management verwalten. Sie können Gruppen erstellen und verwalten, die Azure AD-Rollen zugewiesen werden können. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von Privileged Identity Management und administrativer Einheiten.
Wichtig
Diese Rolle ermöglicht die Verwaltung von Zuweisungen für alle Azure AD-Rollen, einschließlich der globalen Administratorrolle. Diese Rolle umfasst keine anderen privilegierten Funktionen in Azure AD wie das Erstellen oder Aktualisieren von Benutzern. Benutzer, die dieser Rolle zugewiesen sind, können sich selbst oder anderen jedoch zusätzliche Berechtigungen gewähren, indem sie zusätzliche Rollen zuweisen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Anwendungsrollenzuweisungen in Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Azure AD-Rollenzuweisungen |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Azure AD-Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Azure AD-Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Azure AD-Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern). |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie |
| microsoft.directory/directoryRoles/allProperties/allTasks | Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupsAssignableToRoles/create | Erstellen einer Gruppe, der Rollen zugeordnet werden können |
| microsoft.directory/groupsAssignableToRoles/delete | Löschen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/restore | Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aktualisieren von Gruppen, denen Rollen zugeordnet werden können |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Meldet Reader
Benutzer*innen mit dieser Rolle können Nutzungsberichtsdaten und das Berichtsdashboard im Microsoft 365 Admin Center sowie das Einführungskontextpaket in Fabric und Power BI anzeigen. Darüber hinaus ermöglicht die Rolle den Zugriff auf alle Anmeldeprotokolle, Prüfprotokolle und Aktivitätsberichte in Azure AD und von der Microsoft Graph-Berichterstellungs-API zurückgegebene Daten. Ein Benutzer, dem die Rolle „Meldet Reader“ zugewiesen ist, kann nur auf relevante Nutzungs- und Anpassungsmetriken zugreifen. Sie verfügen nicht über Administratorrechte, um Einstellungen zu konfigurieren oder auf produktspezifische Verwaltungskonsolen wie das Exchange Admin Center zuzugreifen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Suchadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Microsoft Search-Verwaltungsfunktionen im Microsoft 365 Admin Center. Darüber hinaus können diese Benutzer das Nachrichtencenter anzeigen, die Dienstintegrität überwachen und Service Requests erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Such-Editor
Benutzer mit dieser Rolle können Inhalte für Microsoft Search im Microsoft 365 Admin Center erstellen, verwalten und löschen. Hierzu gehören Inhalte wie Lesezeichen, Fragen und Antworten sowie Standorte.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Sicherheitsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle verfügen über Berechtigungen zum Verwalten sicherheitsbezogener Features im Microsoft 365 Defender-Portal, in Azure Active Directory Identity Protection, Azure Active Directory-Authentifizierung, Azure Information Protection und im Microsoft Purview-Complianceportal. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Überwachen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
| Schutz der Identität (Identity Protection) | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge außer des Zurücksetzens von Kennwörtern |
| Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Kann keine Azure AD-Rollenzuweisungen oder -Einstellungen verwalten |
| Grundlegendes zum Microsoft Purview-Complianceportal | Verwalten von Sicherheitsrichtlinien Anzeigen, Untersuchen und Reagieren auf Sicherheitsbedrohungen Berichte anzeigen |
| Azure Advanced Threat Protection | Überwachen und Reagieren auf verdächtige Sicherheitsaktivitäten |
| Microsoft Defender für den Endpunkt | Zuweisen von Rollen Verwalten von Computergruppen Konfigurieren der Endpunkt-Bedrohungserkennung und der automatisierten Korrektur Anzeigen, Untersuchen und Reagieren auf Warnungen Anzeigen des Computer-/Gerätebestands |
| Intune | Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen |
| Microsoft Defender für Cloud-Apps | Hinzufügen von Administratoren, Richtlinien und Einstellungen, Hochladen von Protokollen und Ausführen von Governanceaktionen |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Smart Lockout | Hiermit werden der Schwellenwert und die Dauer für Sperren definiert, wenn fehlerhafte Anmeldeereignisse auftreten. |
| Kennwortschutz | Konfigurieren Sie die benutzerdefinierte Liste der gesperrten Kennwörter oder lokalen Kennwortschutz. |
| Mandantenübergreifende Synchronisierung | Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen für Benutzer*innen in einem anderen Mandanten. Sicherheitsadministrator*innen können Benutzer*innen nicht direkt erstellen und löschen, aber synchronisierte Benutzer*innen aus einem anderen Mandanten indirekt erstellen und löschen, wenn beide Mandanten für die mandantenübergreifende Synchronisierung konfiguriert sind. Dabei handelt es sich um eine privilegierte Berechtigung. |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Azure AD B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Azure AD B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren der Einstellungen für die Azure AD B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Azure AD B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen Sie alle Eigenschaften der Anmeldeinformationen für das gesicherte lokale Administratorkonto für in Azure AD eingebundene Geräte mit Ausnahme des Kennworts. |
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen sämtlicher Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Azure AD Identity Protection |
| microsoft.directory/identityProtection/allProperties/update | Aktualisieren aller Ressourcen in Azure AD Identity Protection |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/policies/create | Erstellen von Richtlinien in Azure AD |
| microsoft.directory/policies/delete | Löschen von Richtlinien in Azure AD |
| microsoft.directory/policies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/update | Aktualisieren der Besitzer von Richtlinien |
| microsoft.directory/policies/tenantDefault/update | Aktualisieren von Standardorganisationsrichtlinien |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen des bedingten Zugriffs für Richtlinien |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualisieren der Besitzer von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualisieren des Standardmandanten für Richtlinien für den bedingten Zugriff |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Entra-Netzwerkzugriffs |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/allEntities/basic/update | Aktualisieren der grundlegenden Eigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Sicherheitsoperator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Warnungen verwalten und besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features. Dies schließt sämtliche Informationen in Microsoft 365 Defender-Portal, Azure Active Directory, Identity Protection, Privileged Identity Management und Microsoft Purview-Complianceportal ein. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Warnungen zu Sicherheitsbedrohungen Verwalten von Sicherheitseinstellungen in Microsoft 365 Defender-Portal |
| Schutz der Identität (Identity Protection) | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge, mit Ausnahme des Konfigurierens oder Änderns risikobasierter Richtlinien, des Zurücksetzens von Kennwörtern und des Konfigurierens von Warnungs-E-Mails |
| Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
| Grundlegendes zum Microsoft Purview-Complianceportal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
| Microsoft Defender für den Endpunkt | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
| Intune | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
| Microsoft Defender für Cloud-Apps | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.directory/identityProtection/allProperties/allTasks | Erstellen und Löschen sämtlicher Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in Azure AD Identity Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.intune/allEntities/read | Lesen aller Ressourcen in Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt |
Sicherheitsleseberechtigter
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich alle Informationen in Microsoft 365 Defender-Portal, Azure Active Directory, Identity Protection, und Privileged Identity Management, sowie die Möglichkeit zum Lesen von Azure Active Directory-Anmeldeberichten und Überwachungsprotokollen und für das Microsoft Purview-Complianceportal. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Anzeigen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Anzeigen von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
| Schutz der Identität (Identity Protection) | Anzeigen aller Identity Protection-Berichte und der Übersicht |
| Privileged Identity Management | Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen in Azure AD Privileged Identity Management: Richtlinien und Berichte für Azure AD-Rollenzuweisungen und Sicherheitsüberprüfungen. Kann sich nicht für Azure AD Privileged Identity Management registrieren oder Änderungen daran vornehmen. Im Privileged Identity Management-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z. B. „Globaler Administrator“ oder „Administrator für privilegierte Rollen“) aktivieren, wenn der Benutzer dazu berechtigt ist. |
| Grundlegendes zum Microsoft Purview-Complianceportal | Anzeigen von Sicherheitsrichtlinien Anzeigen und Untersuchen von Sicherheitsbedrohungen Berichte anzeigen |
| Microsoft Defender für den Endpunkt | Anzeigen und Untersuchen von Warnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
| Intune | Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen |
| Microsoft Defender für Cloud-Apps | Besitzt Leserechte. |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Azure AD |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen Sie alle Eigenschaften der Anmeldeinformationen für das gesicherte lokale Administratorkonto für in Azure AD eingebundene Geräte mit Ausnahme des Kennworts. |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen sämtlicher Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Azure AD Identity Protection |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/read | Lesen der Besitzer von Richtlinien |
| microsoft.directory/policies/policyAppliedTo/read | Lesen der policies.policyAppliedTo-Eigenschaft |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen des bedingten Zugriffs für Richtlinien |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für den bedingten Zugriff |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.networkAccess/allEntities/allProperties/read | Alle Aspekte des Entra-Netzwerkzugriffs lesen |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Lesen aller Eigenschaften von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Lesen aller Eigenschaften von Angriffssimulationsvorlagen im Angriffssimulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dienstunterstützungsadministrator
Benutzer mit dieser Rolle können bei Microsoft Supportanfragen für Azure- und Microsoft 365-Dienste erstellen und verwalten sowie das Dienstdashboard und Nachrichtencenter im Azure-Portal und im Microsoft 365 Admin Center anzeigen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
Bisher wurde diese Rolle im Azure-Portal und im Microsoft 365 Admin Center als „Dienstadministrator“ bezeichnet. Sie wurde in „Dienstunterstützungsadministrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
SharePoint-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft SharePoint Online, wenn der Dienst verfügbar ist, und sie können alle Microsoft 365-Gruppen erstellen und verwalten, Supporttickets verwalten sowie die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „SharePoint-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „SharePoint-Administrator“.
Hinweis
Diese Rolle gewährt auch der Microsoft Graph-API bereichsbezogene Berechtigungen für Microsoft Intune, um die Verwaltung und Konfiguration von Richtlinien für SharePoint- und OneDrive-Ressourcen zu ermöglichen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Skype for Business-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist, sowie die Berechtigung zur Verwaltung von Skype-spezifischen Benutzerattributen in Azure Active Directory. Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen, sowie auf die Admin Center von Teams und Skype for Business zuzugreifen. Das Konto muss auch für Teams lizenziert sein, andernfalls kann es keine PowerShell-Cmdlets von Teams ausführen. Weitere Informationen finden Sie unter Skype for Business Online-Administrator. Informationen zur Teams-Lizenzierung finden Sie unter Skype for Business-Add-On-Lizenzierung.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Lync-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Skype for Business-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Teams-Administrator
Benutzer mit dieser Rolle können alle Aspekte der Microsoft Teams-Workload über das Admin Center von Microsoft Teams und Skype for Business und die entsprechenden PowerShell-Module verwalten. Dazu zählen unter anderem alle Verwaltungstools im Zusammenhang mit Telefonie, Messaging, Besprechungen und den Teams selbst. Außerdem bietet diese Rolle die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.azure.print/allEntities/allProperties/allTasks | Verwalten aller Ressourcen in Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/pendingExternalUserProfiles/create | Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
Teams-Kommunikationsadministrator
Benutzer mit dieser Rolle können Aspekte der Microsoft Teams-Workload im Zusammenhang mit Sprache und Telefonie verwalten. Dazu gehören die Verwaltungstools für die Telefonnummernzuweisung, Sprach- und Besprechungsrichtlinien und der uneingeschränkte Zugriff auf das Toolset zur Anrufanalyse.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard |
| microsoft.teams/meetings/allProperties/allTasks | Verwalten von Besprechungen (einschließlich Besprechungsrichtlinien, Konfigurationen und Konferenzbrücken) |
| microsoft.teams/voice/allProperties/allTasks | Verwalten von Sprachanrufen (einschließlich Anrufrichtlinien sowie Verwalten und Zuweisen von Telefonnummern) |
Teams-Kommunikationssupporttechniker
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können vollständige Anrufdatensatzinformationen für alle Teilnehmer anzeigen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufqualitäts-Dashboard |
Teams-Kommunikationssupportspezialist
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können Benutzerdetails im Anruf nur für den bestimmten Benutzer anzeigen, nach dem sie gesucht haben. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/standard/read | Lesen grundlegender Daten im Anrufqualitäts-Dashboard |
Teams-Geräteadministrator
Benutzer mit dieser Rolle können im Teams Admin Center für Teams zertifizierte Geräte verwalten. Diese Rolle bietet eine Übersicht über alle Geräte, mit der Möglichkeit, Geräte zu suchen und zu filtern. Der Benutzer kann Details zu jedem Gerät überprüfen, darunter das angemeldete Konto sowie Marke und Modell des Geräts. Der Benutzer kann die Einstellungen auf dem Gerät ändern und die Softwareversionen aktualisieren. Diese Rolle gewährt keine Berechtigungen zum Überprüfen der Teams-Aktivität und der Anrufqualität des Geräts.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/devices/standard/read | Verwalten sämtlicher Aspekte von in Teams zertifizierten Geräten (einschließlich Konfigurationsrichtlinien) |
Mandantenersteller
Weisen Sie die Rolle „Mandantenersteller“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Erstellen sowohl von Azure Active Directory- als auch von Azure Active Directory B2C-Mandanten, auch wenn die Umschaltfläche für die Mandantenerstellung in den Benutzereinstellungen deaktiviert ist
Hinweis
Den Mandantenerstellern wird in den von ihnen erstellten neuen Mandanten die Rolle „Globaler Administrator“ zugewiesen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Erstellen neuer Mandanten in Azure Active Directory |
Leseberechtigter für Berichte mit Nutzungszusammenfassung
Benutzer mit dieser Rolle können zur Nutzungs- und Produktivitätsbewertung im Microsoft 365 Admin Center auf aggregierte Daten sowie zugehörige Erkenntnisse auf Mandantenebene, aber nicht auf Details oder Erkenntnisse auf Benutzerebene zugreifen. Im Microsoft 365 Admin Center für die beiden Berichte wird zwischen aggregierten Daten auf Mandantenebene und Details auf Benutzerebene unterschieden. Diese Rolle bietet eine zusätzliche Sicherheitsebene für personenbezogene Daten, die von Kunden und Rechtsabteilungen angefordert werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Benutzeradministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Benutzeradministrator“ zu:
| Berechtigung | Weitere Informationen |
|---|---|
| Erstellen von Benutzern | |
| Aktualisieren der meisten Benutzereigenschaften für alle Benutzer, einschließlich aller Administratoren | Wer kann vertrauliche Aktionen ausführen? |
| Aktualisieren vertraulicher Eigenschaften (einschließlich Benutzerprinzipalname) für einige Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Deaktivieren oder Aktivieren einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Löschen oder Wiederherstellen einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Erstellen und Verwalten von Benutzeransichten | |
| Erstellen und Verwalten aller Gruppen | |
| Zuweisen und Lesen von Lizenzen für alle Benutzer, einschließlich aller Administratoren | |
| Zurücksetzen von Kennwörtern | Wer kann Kennwörter zurücksetzen? |
| Annullieren Sie Aktualisierungstoken. | Wer kann Kennwörter zurücksetzen? |
| Aktualisieren von Geräteschlüsseln (FIDO) | |
| Aktualisieren von Richtlinien für den Kennwortablauf | |
| Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center | |
| Überwachen der Dienstintegrität |
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten von MFA.
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Verwalten gemeinsam genutzter Postfächer
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Azure Active Directory haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Benutzeradministratoren nicht gewährt werden. So kann ein Benutzeradministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure AD und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Azure AD, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Azure AD-Rollenzuweisungen |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Azure AD-Berechtigungsverwaltung |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Azure Active Directory-Gruppen, die mit Azure AD Connect in die lokale Umgebung zurückgeschrieben werden sollen |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/sponsors/update | Aktualisieren von Sponsoren von Benutzern |
| microsoft.directory/users/usageLocation/update | Aktualisieren des Verwendungsstandorts von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für virtuelle Besuche
Benutzer mit dieser Rolle können die folgenden Aufgaben ausführen:
- Verwalten und Konfigurieren aller Aspekte virtueller Besuche in Bookings im Microsoft 365 Admin Center und im Teams EHR-Connector
- Anzeigen von Nutzungsberichten für virtuelle Besuche in Teams Admin Center, Microsoft 365 Admin Center, Fabric und Power BI
- Anzeigen von Features und Einstellungen im Microsoft 365 Admin Center, aber keine Bearbeitung von Einstellungen
Virtuelle Besuche sind eine einfache Möglichkeit, Online- und Videotermine für Mitarbeiter und Teilnehmende zu planen und zu verwalten. Beispielsweise kann die Verwendungsberichterstattung zeigen, wie durch das Senden von SMS-Textnachrichten vor Terminen die Anzahl der Personen, die Termine nicht wahrnehmen, verringert werden kann.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Viva Goals-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Goals-Administrator“ zu:
- Alle Aspekte der Microsoft Viva Goals-Anwendung verwalten und konfigurieren
- Microsoft Viva Goals-Administratoreinstellungen konfigurieren
- Azure AD-Mandanteninformationen lesen
- Microsoft 365-Dienststatus überwachen
- Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Viva Goals und Einführung in Microsoft Viva Goals.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Goals verwalten |
Viva Pulse-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Pulse-Administrator“ zu:
- Lesen und Konfigurieren aller Einstellungen von Viva Pulse
- Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
- Lesen und Konfigurieren von Azure Service Health
- Erstellen und Verwalten von Azure-Supporttickets
- Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
Weitere Informationen finden Sie unter Zuweisen eines Viva Pulse-Administrators im Microsoft 365 Admin Center.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Pulse verwalten |
Windows 365-Administrator
Benutzer mit dieser Rolle verfügen über globale Berechtigungen für Windows 365-Ressourcen, wenn der Dienst vorhanden ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten.
Diese Rolle kann Sicherheitsgruppen erstellen und verwalten, verfügt jedoch nicht über Administratorrechte für Microsoft 365-Gruppen. Das bedeutet, dass Administratoren Besitzer oder Mitgliedschaften von Microsoft 365-Gruppen in der Organisation nicht aktualisieren können. Sie können jedoch die Microsoft 365-Gruppe verwalten, die sie erstellen. Dies ist ein Teil ihrer Endbenutzerberechtigungen. Daher werden alle Microsoft 365-Gruppen (keine Sicherheitsgruppe), die sie erstellen, ihrem Kontingent von 250 angerechnet.
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Windows 365-Administrator zu:
- Verwalten von Windows 365 Cloud-PCs in Microsoft Intune
- Registrieren und Verwalten von Geräten in Azure AD, einschließlich Zuweisen von Benutzern und Richtlinien
- Erstellen und Verwalten von Sicherheitsgruppen, aber nicht von Rollen zuweisbaren Gruppen
- Anzeigen grundlegender Eigenschaften im Microsoft 365 Admin Center
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/create | Erstellen von Geräten (bei Azure AD registrieren) |
| microsoft.directory/devices/delete | Löschen von Geräten aus Azure AD |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Azure AD |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Azure AD |
| microsoft.directory/devices/basic/update | Aktualisieren grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten |
| microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
| microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/classification/update | Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien zur Geräteverwaltung |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Windows Update-Bereitstellungsadministrator
Benutzer mit dieser Rolle können alle Aspekte von Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. Mit dem Bereitstellungsdienst können Benutzer festlegen, wann und wie Updates bereitgestellt werden, und angeben, welche Updates für Gruppen von Geräten in ihrem Mandanten angeboten werden. Darüber hinaus können Benutzer den Updatefortschritt überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts |
Yammer-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Yammer-Administrator zu:
- Verwalten sämtlicher Aspekte von Yammer
- Erstellen, Verwalten und Wiederherstellen von Microsoft 365-Gruppen, aber nicht von Gruppen, denen Rollen zugewiesen werden können
- Anzeigen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen einschließlich Gruppen, denen Rollen zugewiesen werden können
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Anzeigen von Ankündigungen im Nachrichtencenter, aber nicht von sicherheitsrelevanten Ankündigungen
- Anzeigen der Dienstintegrität
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Yammer |
Veraltete Rollen
Die folgenden Rollen sollten nicht verwendet werden. Sie sind veraltet und werden aus Azure AD entfernt.
- Ad-hoc-Lizenzadministrator
- Geräteeinbindung
- Geräte-Manager
- Gerätebenutzer
- Benutzererstellung mit E-Mail-Überprüfung
- Postfachadministrator
- Geräteeinbindung am Arbeitsplatz
Im Portal nicht angezeigte Rollen
Nicht jede Rolle, die von PowerShell oder der MS Graph-API zurückgegeben wird, wird Azure-Portal angezeigt. Diese Unterschiede sind in der folgenden Tabelle aufgelistet.
| API-Name | Name im Azure-Portal | Notizen |
|---|---|---|
| Geräteeinbindung | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Geräte-Manager | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Gerätebenutzer | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Konten zur Verzeichnissynchronisierung | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zu Konten für die Verzeichnissynchronisierung |
| Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Partnersupport der Ebene 1 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 1 |
| Partnersupport der Ebene 2 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 2 |
| Eingeschränkter Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Benutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Geräteeinbindung am Arbeitsplatz | Als veraltet markiert | Dokumentation zu veralteten Rollen |