Integrierte Microsoft Entra-Rollen

Wenn in Microsoft Entra ID ein anderer Administrator oder ein Nichtadministrator Microsoft Entra-Ressourcen verwalten muss, weisen Sie ihm eine Microsoft Entra-Rolle zu, die die benötigten Berechtigungen bereitstellt. Beispielsweise können Sie Rollen zuweisen, die das Hinzufügen oder Ändern von Benutzern, das Zurücksetzen von Benutzerkennwörtern, das Verwalten von Benutzerlizenzen oder das Verwalten von Domänennamen erlauben.

In diesem Artikel werden die in Microsoft Entra integrierten Rollen aufgeführt, die Sie zuweisen können, um die Verwaltung von Microsoft Entra-Ressourcen zu ermöglichen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Microsoft Entra-Rollen zu Benutzern. Wenn Sie nach Rollen zum Verwalten von Azure-Ressourcen suchen, finden Sie weitere Informationen unter Integrierte Azure-Rollen.

Alle Rollen

Rolle BESCHREIBUNG Vorlagen-ID
Anwendungsadministrator Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten.
Symbol für privilegierte Bezeichnung
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Anwendungsentwickler Erstellen von Anwendungsregistrierungen unabhängig von der Einstellung „Benutzer können Anwendungen registrieren“.
Symbol für privilegierte Bezeichnung
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor der Angriffsnutzdaten Kann Angriffsnutzdaten erstellen, die ein Administrator später initiieren kann. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrator für Angriffssimulation Kann alle Aspekte von Angriffssimulationskampagnen erstellen und verwalten. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrator für Attributzuweisungen Zuweisen von benutzerdefinierten Sicherheitsattributschlüsseln und -werten zu unterstützten Microsoft Entra-Objekten. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Leser für Attributzuweisungen Lesen benutzerdefinierter Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrator für Attributdefinitionen Definieren und Verwalten der Definition von benutzerdefinierten Sicherheitsattributen. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Leser für Attributdefinitionen Lesen der Definition von benutzerdefinierten Sicherheitsattributen. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Attributprotokolladministrator Lesen von Überwachungsprotokollen und Konfigurieren von Diagnoseeinstellungen für Ereignisse im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. 5b784334-f94b-471a-a387-e7219fc49ca2
Attributprotokollleser Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Authentifizierungsadministrator Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte.
Symbol für privilegierte Bezeichnung
c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrator für die Authentifizierungserweiterbarkeit Passen Sie die Anmelde- und Registrierungserfahrungen für Benutzer an, indem Sie benutzerdefinierte Authentifizierungserweiterungen erstellen und verwalten.
Symbol für privilegierte Bezeichnung
25a516ed-2fa0-40ea-a2d0-12923a21473a
Authentifizierungsrichtlinienadministrator Kann die Authentifizierungsmethodenrichtlinie, mandantenweite MFA-Einstellungen, die Kennwortschutzrichtlinie und überprüfbare Anmeldeinformationen erstellen und verwalten. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps-Administrator Kann Azure DevOps-Richtlinien und -Einstellungen verwalten. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection-Administrator Verwalten sämtlicher Aspekte des Produkts Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C-IEF-Schlüsselsatzadministrator Kann Geheimnisse für Verbund und Verschlüsselung im Identity Experience Framework (IEF) verwalten.
Symbol für privilegierte Bezeichnung
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C-IEF-Richtlinienadministrator Kann Vertrauensframeworkrichtlinien im Identity Experience Framework (IEF) erstellen und verwalten. 3edaf663-341e-4475-9f94-5c398ef6c070
Rechnungsadministrator Ausführen von allgemeinen Abrechnungsaufgaben wie der Aktualisierung der Zahlungsinformationen. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security-Administrator Kann alle Aspekte des Produkts Defender for Cloud Apps verwalten. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Cloudanwendungsadministrator Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer Anwendungsproxy.
Symbol für privilegierte Bezeichnung
158c047a-c907-4556-b7ef-446551a6b5f7
Cloudgeräteadministrator Eingeschränkter Zugriff zum Verwalten von Geräten in Microsoft Entra ID.
Symbol für privilegierte Bezeichnung
7698a772-787b-4ac8-901f-60d6b08affd2
Complianceadministrator Kann die Konformitätskonfiguration und Berichte in Microsoft Entra ID und Microsoft 365 lesen. 17315797-102d-40b4-93e0-432062caca18
Compliancedatenadministrator Erstellt und verwaltet Complianceinhalte. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrator für bedingten Zugriff Verwalten von Funktionen zum bedingten Zugriff.
Symbol für privilegierte Bezeichnung
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Genehmigende Person für den LockBox-Kundenzugriff Kann Microsoft-Supportanfragen zum Zugriff auf Benutzerorganisationsdaten genehmigen. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics-Administrator Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Verzeichnisleseberechtigte Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Verzeichnissynchronisierungskonten Wird nur vom Microsoft Entra Connect-Dienst verwendet.
Symbol für privilegierte Bezeichnung
d29b2b05-8046-44ba-8758-1e26182fcf32
Verzeichnisschreibberechtigte Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen.
Symbol für privilegierte Bezeichnung
9360feb5-f418-4baa-8175-e2a00bac4301
Domänennamenadministrator Verwalten von Domänennamen lokal und in der Cloud.
Symbol für privilegierte Bezeichnung
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365-Administrator Verwalten sämtlicher Aspekte des Produkts Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central-Administrator Kann auf Dynamics 365 Business Central-Umgebungen zugreifen und alle administrativen Aufgaben in den Umgebungen ausführen. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edgeadministrator Verwalten sämtlicher Aspekte von Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange-Administrator Verwalten sämtlicher Aspekte des Produkts Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrator für Exchange-Empfänger Erstellen oder Aktualisieren von Exchange Online-Empfängern in der Exchange Online-Organisation. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrator für Benutzerflows mit externer ID Kann alle Aspekte von Benutzerflows erstellen und verwalten. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrator für Benutzerflowattribute mit externer ID Kann das für alle Benutzerflows verfügbare Attributschema erstellen und verwalten. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Externer Identitätsanbieteradministrator Kann Identitätsanbieter für die Verwendung in einem direkten Verbund konfigurieren.
Symbol für privilegierte Bezeichnung
be2f45a1-457d-42af-a067-6ec1fa63bc45
Fabric-Administrator Verwalten sämtlicher Aspekte der Produkte Fabric und Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Globaler Administrator Kann alle Aspekte von Microsoft Entra-ID und Microsoft-Diensten verwalten, die Microsoft Entra-Identitäten verwenden.
Symbol für privilegierte Bezeichnung
62e90394-69f5-4237-9190-012177145e10
Globaler Leser Hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen.
Symbol für privilegierte Bezeichnung
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Global Secure Access-Administrator Erstellen und verwalten Sie alle Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs, einschließlich der Verwaltung des Zugriffs auf öffentliche und private Endpunkte. ac434307-12b9-4fa1-a708-88bf58caabc1
Gruppenadministrator Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen. fdd7a751-b60b-444a-984c-02652fe8fa1c
Gasteinladender Einladen von Gastbenutzernunabhängig von der Einstellung „Mitglieder können Gäste einladen“. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Helpdeskadministrator Zurücksetzen von Kennwörtern für Nicht-Administratoren und Helpdeskadministratoren.
Symbol für privilegierte Bezeichnung
729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybrididentitätsadministrator Kann Active Directory in Microsoft Entra-Cloudbereitstellung, Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Anmelden (Seamless SSO) und Verbundeinstellungen verwalten. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health.
Symbol für privilegierte Bezeichnung
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance-Administrator Verwalten des Zugriffs mithilfe von Microsoft Entra ID für Identitätsgovernanceszenarien. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights Administrator Administratorzugriff in der Microsoft 365 Insights-App. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights-Analyst Greifen Sie auf die Analysefunktionen in Microsoft Viva Insights zu, und führen Sie benutzerdefinierte Abfragen aus. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Kann Dashboards und Erkenntnisse über die Microsoft 365 Insights-App anzeigen und freigeben. 31e939ad-9672-4796-9c2e-873181342d2d
Intune-Administrator Verwalten sämtlicher Aspekte des Produkts Intune.
Symbol für privilegierte Bezeichnung
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala-Administrator Kann Einstellungen für Microsoft Kaizala verwalten. 74ef975b-6605-40af-a5d2-b9539d836353
Wissensadministrator Kann Wissens-, Lern- und andere intelligente Features konfigurieren. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Wissens-Manager Kann Themen und Wissen organisieren, erstellen, verwalten und bewerben. 744ec460-397e-42ad-a462-8b3f9747a02c
Lizenzadministrator Kann Produktlizenzen für Benutzer und Gruppen verwalten. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Lebenszyklus-Workflowadministrator Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID. 59d46f88-662b-457b-bceb-5c3809e5908f
Nachrichtencenter-Datenschutzleseberechtigter Kann Sicherheitsnachrichten und -updates nur im Office 365-Nachrichtencenter lesen. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Nachrichtencenter-Leseberechtigter Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365-Migrationsadministrator*in Führen Sie alle Migrationsfunktionen aus, um Inhalte mithilfe des Migrations-Managers zu Microsoft 365 zu migrieren. 8c8b803f-96e1-4129-9349-20738d9f9652
Lokaler Administrator des in Microsoft Entra eingebundenen Geräts Benutzer, die dieser Rolle zugewiesen wurden, werden der lokalen Administratorgruppe auf in Microsoft Entra eingebundenen Geräten hinzugefügt. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft-Hardwaregarantieadministrator Erstellen und Verwalten von Garantieansprüchen und -berechtigungen für von Microsoft hergestellte Hardware wie Surface und HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft Hardware Warranty Specialist Erstellen und Lesen von Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Moderner Commerceadministrator Kann kommerzielle Käufe für ein Unternehmen, eine Abteilung oder ein Team verwalten. d24aef57-1500-4070-84db-2666f29cf966
Netzwerkadministrator Verwalten von Netzwerkstandorten und überprüfen von Erkenntnissen zum Entwurf des Unternehmensnetzwerks für Microsoft 365-SaaS-Anwendungen (Software-as-a-Service). d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office-Apps-Administrator Kann Clouddienste für Office-Apps (einschließlich Richtlinien- und Einstellungsverwaltung) sowie Funktionen zum Auswählen, Aufheben der Auswahl und Veröffentlichen von Inhalten zu neuen Features auf Endbenutzergeräten verwalten. 2b745bdf-0803-4d80-aa65-822c4493daac
Organisationsbrandingadministrator Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Schreiber für Organisationsnachrichten Schreiben, Veröffentlichen, Verwalten und Überprüfen von Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Partnersupport der Ebene 1 Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen.
Symbol für privilegierte Bezeichnung
4ba39ca4-527c-499a-b93d-d9b492c50246
Partnersupport der Ebene 2 Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen.
Symbol für privilegierte Bezeichnung
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Kennwortadministrator Kann Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen.
Symbol für privilegierte Bezeichnung
966707d0-3269-4727-9be2-8c3a10f19b9d
Berechtigungsverwaltungsadministrator Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform-Administrator Kann alle Aspekte von Microsoft Dynamics 365, Power Apps und Power Automate erstellen und verwalten. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Druckeradministrator Verwalten sämtlicher Aspekte von Druckern und Druckerconnectors. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Druckertechniker Registrieren von Druckern, Aufheben ihrer Registrierung und Aktualisieren des Druckerstatus. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Privilegierter Authentifizierungsadministrator Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte).
Symbol für privilegierte Bezeichnung
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrator für privilegierte Rollen Kann Rollenzuweisungen in Microsoft Entra ID sowie sämtliche Aspekte von Privileged Identity Management (PIM) verwalten.
Symbol für privilegierte Bezeichnung
e8611ab8-c189-46e8-94e1-60213ab1f814
Berichtleseberechtigter Lesen von Anmeldungs- und Überwachungsberichten. 4a5d8f65-41da-4de4-8968-e035b65339cf
Suchadministrator Kann alle Aspekte der Microsoft Search-Einstellungen erstellen und verwalten. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Such-Editor Kann redaktionelle Inhalte wie Lesezeichen, Fragen und Antworten, Standorte und Grundrisse erstellen und verwalten. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Sicherheitsadministrator Kann Sicherheitsinformationen und -berichte lesen und die Konfiguration in Microsoft Entra ID und Office 365 verwalten.
Symbol für privilegierte Bezeichnung
194ae4cb-b126-40b2-bd5b-6091b380977d
Sicherheitsoperator Erstellt und verwaltet Sicherheitsereignisse.
Symbol für privilegierte Bezeichnung
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Sicherheitsleseberechtigter Lesen von Sicherheitsinformationen und Berichten in Microsoft Entra ID und Office 365.
Symbol für privilegierte Bezeichnung
5d6b6bb7-de71-4623-b4af-96380a352509
Dienstsupportadministrator Lesen von Service Health-Informationen und Verwalten von Supporttickets. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint-Administrator Verwalten sämtlicher Aspekte des SharePoint-Diensts. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype for Business-Administrator Verwalten sämtlicher Aspekte des Produkts Skype for Business. 75941009-915a-4869-abe7-691bff18279e
Teams-Administrator Kann den Microsoft Teams-Dienst verwalten. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams-Kommunikationsadministrator Kann Anruf- und Besprechungsfunktionen im Microsoft Teams-Dienst verwalten. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Supporttechniker für die Teams-Kommunikation Kann Kommunikationsprobleme in Teams mithilfe von erweiterten Tools behandeln. f70938a0-fc10-4177-9e90-2178f8765737
Supportfachmann für die Teams-Kommunikation Kann Kommunikationsprobleme in Teams mithilfe von allgemeinen Tools behandeln. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams-Geräteadministrator Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Mandantenersteller Erstellen neuer Microsoft Entra ID- oder Azure AD B2C-Mandanten. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Leseberechtigter für Berichte mit Nutzungszusammenfassung Lesen von Nutzungsberichten und Einführungsbewertung, aber kein Zugriff auf Benutzerdetails. 75934031-6c7e-415a-99d7-48dbd49e875e
Benutzeradministrator Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren.
Symbol für privilegierte Bezeichnung
fe930be7-5e62-47db-91af-98c3a49a38b1
Administrator für virtuelle Besuche Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Besuche. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals-Administrator Verwalten und konfigurieren Sie alle Aspekte von Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse-Administrator Kann alle Einstellungen für Microsoft Viva Pulse App verwalten. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365-Administrator Kann alle Aspekte von Cloud-PCs bereitstellen und verwalten. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update-Bereitstellungsadministrator Kann alle Aspekte der Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer-Administrator Verwalten Sie alle Aspekte des Yammer-Diensts. 810a2642-a034-447f-a5e8-41beaa378541

Anwendungsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Beachten Sie, dass Benutzer, denen diese Rolle zugewiesen wurde, bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt werden.

Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).

Wichtig

Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.

Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.

Aktionen BESCHREIBUNG
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind
microsoft.directory/applications/create Erstellen aller Anwendungstypen
microsoft.directory/applications/delete Löschen aller Anwendungstypen
microsoft.directory/applications/applicationProxy/read Lesen aller Anwendungsproxyeigenschaften
microsoft.directory/applications/applicationProxy/update Aktualisieren aller Anwendungsproxyeigenschaften
microsoft.directory/applications/applicationProxyAuthentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/applicationProxySslCertificate/update Aktualisieren der SSL-Zertifikateinstellungen für den Anwendungsproxy
microsoft.directory/applications/applicationProxyUrlSettings/update Aktualisieren der URL-Einstellungen für den Anwendungsproxy
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/credentials/update Aktualisieren von Anwendungsanmeldeinformationen
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/extensionProperties/update Aktualisieren von Erweiterungseigenschaften von Anwendungen
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/applications/verification/update Aktualisieren der applicationsverification-Eigenschaft
microsoft.directory/applications/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
microsoft.directory/applicationTemplates/instantiate Instanziieren von Kataloganwendungen über Anwendungsvorlagen
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/connectors/create Erstellen von Anwendungsproxyconnectors
microsoft.directory/connectors/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors
microsoft.directory/connectorGroups/create Erstellen von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/delete Löschen von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/allProperties/update Aktualisieren sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen
Symbol für privilegierte Bezeichnung
microsoft.directory/deletedItems.applications/delete Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.applications/restore Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/applicationPolicies/create Erstellen von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/delete Löschen von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/standard/read Lesen der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/owners/read Lesen der Besitzer von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/policyAppliedTo/read Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien
microsoft.directory/applicationPolicies/basic/update Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/owners/update Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/servicePrincipals/create Erstellen von Dienstprinzipalen
microsoft.directory/servicePrincipals/delete Löschen von Dienstprinzipalen
microsoft.directory/servicePrincipals/disable Deaktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/enable Aktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationSchema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph)
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/servicePrincipals/audience/update Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/authentication/update Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/basic/update Aktualisieren grundlegender Eigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/credentials/update Aktualisieren der Anmeldeinformationen von Dienstprinzipalen
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/notes/update Aktualisieren von Hinweisen zu Dienstprinzipalen
microsoft.directory/servicePrincipals/owners/update Aktualisieren der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Berechtigungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Richtlinien für Dienstprinzipale
microsoft.directory/servicePrincipals/tag/update Aktualisieren der tag-Eigenschaft für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Anwendungsentwickler

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Anwendungsregistrierungen erstellen, wenn die Einstellung „Benutzer können Anwendungen registrieren“ auf „Nein“ festgelegt ist. Diese Rolle ermöglicht auch die Berechtigung, im eigenen Namen zuzustimmen, wenn die Einstellung „Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen“ auf „Nein“ festgelegt ist. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen als Besitzer hinzugefügt.

Aktionen BESCHREIBUNG
microsoft.directory/applications/createAsOwner Erstellen aller Anwendungstypen (Ersteller wird als erster Besitzer hinzugefügt)
microsoft.directory/oAuth2PermissionGrants/createAsOwner Erstellen von OAuth 2.0-Berechtigungszuweisungen (Ersteller wird als erster Besitzer hinzugefügt)
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/createAsOwner Erstellen von Dienstprinzipalen (Ersteller wird als erster Besitzer hinzugefügt)

Autor der Angriffsnutzdaten

Benutzer in dieser Rolle können Angriffsnutzdaten erstellen, diese jedoch nicht tatsächlich starten oder planen. Die Angriffsnutzdaten stehen dann allen Administratoren im Mandanten zur Verfügung und können von diesen zum Erstellen einer Simulation verwendet werden.

Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.

Aktionen BESCHREIBUNG
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen

Administrator für Angriffssimulation

Benutzer mit dieser Rolle können alle Aspekte der Angriffssimulationserstellung, des Starts und der Planung einer Simulation und der Überprüfung der Simulationsergebnisse erstellen und verwalten. Mitglieder dieser Rolle besitzen diesen Zugriff für alle Simulationen im Mandanten.

Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.

Aktionen BESCHREIBUNG
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator

Administrator für Attributzuweisungen

Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte wie Benutzer, Dienstprinzipale und Geräte zuweisen und entfernen.

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen Beschreibung
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aktualisieren von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten
microsoft.directory/attributeSets/allProperties/read Lesen aller Eigenschaften von Attributgruppen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen
microsoft.directory/devices/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte
microsoft.directory/devices/customSecurityAttributes/update Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Geräte
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale
microsoft.directory/users/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer
microsoft.directory/users/customSecurityAttributes/update Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Benutzer

Leser für Attributzuweisungen

Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte lesen.

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen BESCHREIBUNG
microsoft.directory/attributeSets/allProperties/read Lesen aller Eigenschaften von Attributgruppen
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen
microsoft.directory/devices/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale
microsoft.directory/users/customSecurityAttributes/read Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer

Administrator für Attributdefinitionen

Benutzer mit dieser Rolle können gültige benutzerdefinierte Sicherheitsattribute definieren, die unterstützten Microsoft Entra-Objekten zugewiesen werden können. Diese Rolle kann auch benutzerdefinierte Sicherheitsattribute aktivieren und deaktivieren.

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen BESCHREIBUNG
microsoft.directory/attributeSets/allProperties/allTasks Verwalten aller Aspekte von Attributsätzen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Verwalten aller Aspekte von benutzerdefinierten Sicherheitsattributdefinitionen

Leser für Attributdefinitionen

Benutzer mit dieser Rolle können die Definition von benutzerdefinierten Sicherheitsattributen lesen.

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen BESCHREIBUNG
microsoft.directory/attributeSets/allProperties/read Lesen aller Eigenschaften von Attributgruppen
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen

Attributprotokolladministrator

Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:

  • Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
  • Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute
  • Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute

Benutzer mit dieser Rolle können Überwachungsprotokolle für andere Ereignisse nicht lesen.

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute. Um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute zu lesen, muss Ihnen diese Rolle oder die Rolle „Attributprotokollleser“ zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen Beschreibung
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Konfigurieren aller Aspekte der Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute

Attributprotokollleser

Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:

  • Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
  • Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute
  • Lesen von Überwachungsprotokollen für andere Ereignisse

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute. Um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute zu lesen, muss Ihnen diese Rolle oder die Rolle „Attributprotokollladministrator“ zugewiesen sein.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Aktionen Beschreibung
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen

Authentifizierungsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsadministrator“ zu:

  • Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für Nicht-Administratoren und einige andere Rollen. Eine Liste der Rollen, die ein Authentifizierungsadministrator lesen oder deren Authentifizierungsmethoden er aktualisieren kann, finden Sie unter Berechtigungen für die Kennwortzurücksetzung.
  • Auffordern von Benutzern, die keine Administratoren sind oder die Rollen zugewiesen sind, ihre vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) erneut zu registrieren, und sie können auch Speichern der MFA auf dem Gerät widerrufen. Dann werden Benutzer bei der nächsten Anmeldung zur Eingabe ihrer MFA-Anmeldeinformationen aufgefordert.
  • Durchführen vertraulicher Aktionen für einige Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
  • Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
  • Verwalten von MFA-Einstellungen im Legacy-MFA-Verwaltungsportal oder Hardware-OATH-Token.

In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.

Role Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer Verwalten der MFA pro Benutzerin bzw. Benutzer Verwalten von MFA-Einstellungen Verwalten der Authentifizierungsmethodenrichtlinie Verwalten der Kennwortschutzrichtlinie Aktualisieren vertraulicher Eigenschaften Löschen und Wiederherstellen von Benutzerinnen und Benutzern
Authentifizierungsadministrator Ja, für einige Benutzer Ja, für einige Benutzer Nein Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer
Privilegierter Authentifizierungsadministrator Ja, für alle Benutzer Ja, für alle Benutzer Nein Nr. Nein Ja, für alle Benutzer Ja, für alle Benutzer
Authentifizierungsrichtlinienadministrator Nein Nein Ja Ja Ja Nr. Nein
Benutzeradministrator Nein Nr. Nr. Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer

Wichtig

Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:

  • Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
  • Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
  • Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
  • Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
  • Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Aktionen Beschreibung
microsoft.directory/users/authenticationMethods/create Aktualisieren der Authentifizierungsmethoden für Benutzer*innen
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/delete Löschen von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten
microsoft.directory/users/authenticationMethods/basic/update Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/deletedItems.users/restore Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand
microsoft.directory/users/delete Löschen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/restore Wiederherstellen gelöschter Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für die Authentifizierungserweiterbarkeit

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, welche die folgenden Aufgaben ausführen müssen, die Rolle „Administrator für die Authentifizierungserweiterbarkeit“ zu:

  • Erstellen und Verwalten aller Aspekte von benutzerdefinierten Authentifizierungserweiterungen.

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Benutzerdefinierte Authentifizierungserweiterungen können Anwendungen nicht zugewiesen werden, um die Authentifizierungserfahrungen zu ändern, und sie können nicht den Anwendungsberechtigungen zustimmen oder App-Registrierungen erstellen, die der benutzerdefinierten Authentifizierungserweiterung zugeordnet sind. Stattdessen müssen Sie die Rollen „Anwendungsadministrator“, „Anwendungsentwickler“ oder „Cloudanwendungsadministrator“ verwenden.

Eine benutzerdefinierte Authentifizierungserweiterung ist ein API-Endpunkt, der von Entwicklern für Authentifizierungsereignisse erstellt und in Microsoft Entra ID registriert wird. Anwendungsadministratoren und Anwendungsbesitzer können benutzerdefinierte Authentifizierungserweiterungen verwenden, um die Authentifizierungserfahrungen ihrer Anwendung anzupassen, z. B. Anmelden und Registrieren oder Kennwortzurücksetzung.

Weitere Informationen

Aktionen Beschreibung
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen
Symbol für privilegierte Bezeichnung

Authentifizierungsrichtlinienadministrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsrichtlinienadministrator“ zu:

  • Konfigurieren der Authentifizierungsmethodenrichtlinie, von mandantenweite MFA-Einstellungen und der Kennwortschutzrichtlinie, die bestimmen, welche Methoden ein Benutzer registrieren und verwenden kann.
  • Verwalten von Kennwortschutzeinstellungen: Smart Lockout-Konfigurationen und Aktualisieren der Liste der benutzerdefinierten gesperrten Kennwörter.
  • Erstellen und Verwalten von Nachweisen.
  • Erstellen und Verwalten von Azure-Supporttickets

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.

Role Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer Verwalten der MFA pro Benutzerin bzw. Benutzer Verwalten von MFA-Einstellungen Verwalten der Authentifizierungsmethodenrichtlinie Verwalten der Kennwortschutzrichtlinie Aktualisieren vertraulicher Eigenschaften Löschen und Wiederherstellen von Benutzerinnen und Benutzern
Authentifizierungsadministrator Ja, für einige Benutzer Ja, für einige Benutzer Nein Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer
Privilegierter Authentifizierungsadministrator Ja, für alle Benutzer Ja, für alle Benutzer Nein Nr. Nein Ja, für alle Benutzer Ja, für alle Benutzer
Authentifizierungsrichtlinienadministrator Nein Nein Ja Ja Ja Nr. Nein
Benutzeradministrator Nein Nr. Nr. Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer
Aktionen BESCHREIBUNG
microsoft.directory/organization/strongAuthentication/allTasks Verwalten aller Aspekte von Eigenschaften für eine sichere Authentifizierung in einer Organisation
microsoft.directory/userCredentialPolicies/create Erstellen von Anmeldeinformationsrichtlinien für Benutzer
microsoft.directory/userCredentialPolicies/delete Löschen von Anmeldeinformationsrichtlinien für Benutzer
microsoft.directory/userCredentialPolicies/standard/read Lesen der Standardeigenschaften von Anmeldeinformationsrichtlinien für Benutzer
microsoft.directory/userCredentialPolicies/owners/read Lesen der Besitzer von Anmeldeinformationsrichtlinien für Benutzer
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Lesen des Navigationslinks „policy.appliesTo“
microsoft.directory/userCredentialPolicies/basic/update Aktualisieren grundlegender Richtlinien für Benutzer
microsoft.directory/userCredentialPolicies/owners/update Aktualisieren der Besitzer von Anmeldeinformationsrichtlinien für Benutzer
microsoft.directory/userCredentialPolicies/tenantDefault/update Aktualisieren der policy.isOrganizationDefault-Eigenschaft
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lesen einer Karte mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/create Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/create Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/delete Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets

Azure DevOps-Administrator

Benutzer mit dieser Rolle können alle Azure DevOps-Unternehmensrichtlinien verwalten, die für alle Azure DevOps-Organisationen gelten, die von Microsoft Entra ID unterstützt werden. Benutzer mit dieser Rolle können diese Richtlinien verwalten, indem sie zu einer Azure DevOps-Organisation navigieren, die von Microsoft Entra ID des Unternehmens unterstützt wird. Darüber hinaus können Benutzer in dieser Rolle den Besitz verwaister Azure DevOps-Organisationen beanspruchen. Diese Rolle gewährt keine anderen Azure DevOps-spezifischen Berechtigungen (z. B. Projektauflistungsadministratoren) in Azure DevOps-Organisationen, die von der Microsoft Entra-Organisation des Unternehmens unterstützt werden.

Aktionen BESCHREIBUNG
microsoft.azure.devOps/allEntities/allTasks Lesen und Konfigurieren von Azure DevOps

Azure Information Protection-Administrator

Benutzer mit dieser Rolle besitzen alle Berechtigungen für den Azure Information Protection-Dienst. Sie können Bezeichnungen für die Azure Information Protection-Richtlinie konfigurieren, Schutzvorlagen verwalten und den Schutz aktivieren. Diese Rolle gewährt keine Berechtigungen für Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-Portal oder das Microsoft Purview-Complianceportal.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.azure.informationProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

B2C-IEF-Schlüsselsatzadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer können die Richtlinienschlüssel und -geheimnisse für Tokenverschlüsselung, Tokensignaturen und Verschlüsselung/Entschlüsselung von Ansprüchen erstellen und verwalten. Durch das Hinzufügen neuer Schlüssel zu vorhandenen Schlüsselcontainern kann dieser Administrator mit eingeschränkten Rechten bei Bedarf Rollover für Geheimnisse ausführen, ohne dass dies Auswirkungen auf vorhandene Anwendungen hat. Diese Benutzer können den vollständigen Inhalt dieser Geheimnisse und deren Ablaufdaten anzeigen – auch nach deren Erstellung.

Wichtig

Dies ist eine sensible Rolle. Die Administratorrolle für Schlüsselsätze muss sorgfältig überwacht und mit Bedacht für Präproduktion und Produktion zugewiesen werden.

Aktionen BESCHREIBUNG
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Lesen und Konfigurieren von Schlüsselsätzen in Azure Active Directory B2C
Symbol für privilegierte Bezeichnung

B2C-IEF-Richtlinienadministrator

Benutzer mit dieser Rolle können alle benutzerdefinierten Richtlinien in Azure AD B2C erstellen, lesen, aktualisieren und löschen und haben daher vollständige Kontrolle über das Identity Experience Framework in der zugehörigen Azure AD B2C-Organisation. Durch das Bearbeiten von Richtlinien können diese Benutzer einen direkten Verbund mit externen Identitätsanbietern einrichten, das Verzeichnisschema und alle benutzerseitigen Inhalte (HTML, CSS, JavaScript) sowie die Anforderungen für das Abschließen einer Authentifizierung ändern, neue Benutzer erstellen, Benutzerdaten an externe Systeme senden (einschließlich einer vollständigen Migration) und alle Benutzerinformationen bearbeiten (einschließlich vertraulicher Felder wie Kennwörter und Telefonnummern). Andererseits kann diese Rolle keine Verschlüsselungsschlüssel ändern oder Geheimnisse für den Verbund in der Organisation bearbeiten.

Wichtig

Der B2-IEF-Richtlinienadministrator ist eine streng vertrauliche Rolle, die nur sehr wenigen Benutzern für Organisationen in der Produktion zugewiesen werden sollte. Aktivitäten dieser Benutzer sollten streng überwacht werden. Dies gilt vor allem für Organisationen in der Produktion.

Aktionen BESCHREIBUNG
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Lesen und Konfigurieren benutzerdefinierter Richtlinien in Azure Active Directory B2C

Abrechnungsadministrator

Tätigt Käufe, verwaltet Abonnements und Supporttickets und überwacht die Dienstintegrität.

Aktionen BESCHREIBUNG
microsoft.directory/organization/basic/update Aktualisieren grundlegender Eigenschaften für Organisationen
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.commerce.billing/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte der Office 365-Abrechnung
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Cloud App Security-Administrator

Benutzer mit dieser Rolle verfügen über vollständige Berechtigungen für Defender for Cloud-Apps. Sie können Administratoren, Microsoft Defender for Cloud-Apps-Richtlinien und -Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen.

Aktionen BESCHREIBUNG
microsoft.directory/cloudAppSecurity/allProperties/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Cloudanwendungsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben die gleichen Berechtigungen wie die Rolle des Anwendungsadministrators, mit Ausnahme der Möglichkeit, den Anwendungsproxy zu verwalten. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Unternehmensanwendungen und Anwendungsregistrierungen. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.

Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).

Wichtig

Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.

Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.

Aktionen BESCHREIBUNG
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind
microsoft.directory/applications/create Erstellen aller Anwendungstypen
microsoft.directory/applications/delete Löschen aller Anwendungstypen
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/credentials/update Aktualisieren von Anwendungsanmeldeinformationen
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/extensionProperties/update Aktualisieren von Erweiterungseigenschaften von Anwendungen
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/applications/verification/update Aktualisieren der applicationsverification-Eigenschaft
microsoft.directory/applications/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
microsoft.directory/applicationTemplates/instantiate Instanziieren von Kataloganwendungen über Anwendungsvorlagen
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/deletedItems.applications/delete Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.applications/restore Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/applicationPolicies/create Erstellen von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/delete Löschen von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/standard/read Lesen der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/owners/read Lesen der Besitzer von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/policyAppliedTo/read Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien
microsoft.directory/applicationPolicies/basic/update Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/applicationPolicies/owners/update Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/servicePrincipals/create Erstellen von Dienstprinzipalen
microsoft.directory/servicePrincipals/delete Löschen von Dienstprinzipalen
microsoft.directory/servicePrincipals/disable Deaktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/enable Aktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationSchema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph)
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/servicePrincipals/audience/update Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/authentication/update Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/basic/update Aktualisieren grundlegender Eigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/credentials/update Aktualisieren der Anmeldeinformationen von Dienstprinzipalen
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/notes/update Aktualisieren von Hinweisen zu Dienstprinzipalen
microsoft.directory/servicePrincipals/owners/update Aktualisieren der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Berechtigungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Richtlinien für Dienstprinzipale
microsoft.directory/servicePrincipals/tag/update Aktualisieren der tag-Eigenschaft für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Cloudgeräteadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Geräte in Microsoft Entra ID aktivieren, deaktivieren und löschen sowie Windows 10-BitLocker-Schlüssel (falls vorhanden) im Azure-Portal lesen. Die Rolle gewährt keine Berechtigungen für die Verwaltung anderer Eigenschaften auf dem Gerät.

Aktionen BESCHREIBUNG
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/deletedItems.devices/delete Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.devices/restore Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand
microsoft.directory/devices/delete Löschen von Geräten aus Microsoft Entra ID
microsoft.directory/devices/disable Deaktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/enable Aktivieren von Geräten in Microsoft Entra ID
microsoft.directory/deviceLocalCredentials/password/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts.
microsoft.directory/deviceManagementPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
microsoft.directory/deviceManagementPolicies/basic/update Aktualisieren grundlegender Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
Symbol für privilegierte Bezeichnung
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung
Symbol für privilegierte Bezeichnung
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center

Complianceadministrator

Benutzer mit dieser Rolle verfügen über die Berechtigung zum Verwalten von compliancebezogenen Funktionen im Microsoft Purview-Complianceportal, im Microsoft 365 Admin Center, in Azure und im Microsoft 365 Defender-Portal. Zugewiesene Personen können auch alle Features im Exchange Admin Center verwalten und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Geben Sie in Möglich
Grundlegendes zum Microsoft Purview-Complianceportal Schützen und Verwalten Ihrer Organisationsdaten für Microsoft 365-Dienste
Verwalten von Konformitätwarnungen
Grundlegendes zum Compliance-Manager für Microsoft Purview Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation
Microsoft 365 Defender-Portal Verwalten der Datengovernance
Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten
Verwalten von DRS-Anforderungen

Diese Rolle verfügt über die gleichen Berechtigungen wie die Complianceadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal.
Intune Anzeigen aller Intune-Überwachungsdaten
Microsoft Defender für Cloud-Apps Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten
Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen
Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen
Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.directory/entitlementManagement/allProperties/read Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.office365.complianceManager/allEntities/allTasks Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für Konformitätsdaten

Benutzer mit dieser Rolle verfügen über Berechtigungen zum Nachverfolgen von Daten im Microsoft Purview Compliance Center, Microsoft 365 Admin Center und in Azure. Die Benutzer können auch Compliancedaten im Exchange Admin Center, in Compliance-Manager sowie im Teams und Skype for Business Admin Center nachverfolgen und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen zu den Unterschieden zwischen Complianceadministrator und Compliancedatenadministrator finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Konformität.

Geben Sie in Möglich
Grundlegendes zum Microsoft Purview-Complianceportal Überwachen von compliancerelevanten Richtlinien in Microsoft 365-Diensten
Verwalten von Konformitätwarnungen
Grundlegendes zum Compliance-Manager für Microsoft Purview Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation
Microsoft 365 Defender-Portal Verwalten der Datengovernance
Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten
Verwalten von DRS-Anforderungen

Diese Rolle verfügt über die gleichen Berechtigungen wie die Compliancedatenadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal.
Intune Anzeigen aller Intune-Überwachungsdaten
Microsoft Defender für Cloud-Apps Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten
Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen
Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen
Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/cloudAppSecurity/allProperties/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps
microsoft.azure.informationProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.complianceManager/allEntities/allTasks Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für den bedingten Zugriff

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Microsoft Entra ID-Einstellungen für den bedingten Zugriff verwalten.

Aktionen BESCHREIBUNG
microsoft.directory/namedLocations/create Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/delete Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/namedLocations/basic/update Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren
microsoft.directory/conditionalAccessPolicies/create Erstellen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/delete Löschen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/standard/read Lesen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/owners/read Lesen der Besitzer von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/basic/update Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/owners/update Aktualisieren der Besitzer von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualisieren des Standardmandanten für Richtlinien für bedingten Zugriff
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren
Symbol für privilegierte Bezeichnung

Genehmigende Person für den LockBox-Kundenzugriff

Verwaltet Microsoft Purview-Kunden-Lockbox-Anforderungen in Ihrer Organisation. Sie erhalten E-Mail-Benachrichtigungen für Kunden-Lockbox-Anforderungen und können Anforderungen über das Microsoft 365 Admin Center genehmigen und ablehnen. Außerdem können sie das Feature Kunden-Lockbox aktivieren und deaktivieren. Nur globale Administratoren können die Kennwörter von Personen zurücksetzen, die dieser Rolle zugewiesen sind.

Aktionen BESCHREIBUNG
microsoft.office365.lockbox/allEntities/allTasks Verwalten sämtlicher Aspekte der Kunden-Lockbox
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Desktop Analytics-Administrator

Benutzer in dieser Rolle können den Desktop Analytics-Dienst verwalten. Dies umfasst die Möglichkeit zum Anzeigen des Assetbestands, Erstellen von Bereitstellungsplänen sowie zum Anzeigen des Bereitstellungs- und Integritätsstatus.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.desktopAnalytics/allEntities/allTasks Verwalten sämtlicher Aspekte von Desktop Analytics

Rolle „Verzeichnis lesen“

Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen. Diese Rolle sollte für folgende Zwecke verwendet werden:

  • Gewähren von Lesezugriff für eine bestimmte Gruppe von Gastbenutzern statt für alle Gastbenutzer.
  • Gewähren von Zugriff auf das Azure-Portal für eine bestimmten Gruppe von Benutzern ohne Administratorberechtigung, wenn „Zugriff auf Azure-Portal auf Administratoren beschränken“ auf „Ja“ festgelegt ist.
  • Gewähren von Zugriff auf das Verzeichnis für Dienstprinzipale, wenn „Directory.Read.All“ keine Option darstellt.
Aktionen BESCHREIBUNG
microsoft.directory/administrativeUnits/standard/read Lesen grundlegender Eigenschaften für Verwaltungseinheiten
microsoft.directory/administrativeUnits/members/read Lesen der Mitglieder von Verwaltungseinheiten
microsoft.directory/applications/standard/read Lesen der Standardeigenschaften von Anwendungen
microsoft.directory/applications/owners/read Lesen der Besitzer von Anwendungen
microsoft.directory/applications/policies/read Lesen der Richtlinien von Anwendungen
microsoft.directory/contacts/standard/read Lesen grundlegender Eigenschaften von Kontakten in Microsoft Entra ID.
microsoft.directory/contacts/memberOf/read Lesen der Gruppenmitgliedschaft für alle Kontakte in Microsoft Entra ID.
microsoft.directory/contracts/standard/read Lesen grundlegender Eigenschaften für Partnerverträge
microsoft.directory/devices/standard/read Lesen grundlegender Eigenschaften für Geräte
microsoft.directory/devices/memberOf/read Lesen von Gerätemitgliedschaften
microsoft.directory/devices/registeredOwners/read Lesen von registrierten Besitzern von Geräten
microsoft.directory/devices/registeredUsers/read Lesen von registrierten Benutzern von Geräten
microsoft.directory/directoryRoles/standard/read Lesen Sie grundlegende Eigenschaften von Microsoft Entra-Rollen
microsoft.directory/directoryRoles/eligibleMembers/read Lesen der berechtigten Mitglieder von Microsoft Entra-Rollen.
microsoft.directory/directoryRoles/members/read Lesen aller Mitglieder von Microsoft Entra-Rollen.
microsoft.directory/domains/standard/read Lesen grundlegender Eigenschaften für Domänen
microsoft.directory/groups/standard/read Lesen der Standardeigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/appRoleAssignments/read Lesen von Anwendungsrollenzuweisungen von Gruppen
microsoft.directory/groups/memberOf/read Lesen der memberOf-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/members/read Lesen der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/owners/read Lesen der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/settings/read Lesen der Einstellungen von Gruppen
microsoft.directory/groupSettings/standard/read Lesen grundlegender Eigenschaften für Gruppeneinstellungen
microsoft.directory/groupSettingTemplates/standard/read Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen
microsoft.directory/oAuth2PermissionGrants/standard/read Lesen grundlegender Eigenschaften für OAuth 2.0-Berechtigungszuweisungen
microsoft.directory/organization/standard/read Lesen grundlegender Eigenschaften für Organisationen
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Lesen von vertrauenswürdigen Zertifizierungsstellen für die kennwortlose Authentifizierung
microsoft.directory/applicationPolicies/standard/read Lesen der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/roleAssignments/standard/read Lesen grundlegender Eigenschaften für Rollenzuweisungen
microsoft.directory/roleDefinitions/standard/read Lesen grundlegender Eigenschaften für Rollendefinitionen
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lesen der Rollenzuweisungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/appRoleAssignments/read Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind
microsoft.directory/servicePrincipals/standard/read Lesen sämtlicher Eigenschaften von Dienstprinzipalen
microsoft.directory/servicePrincipals/memberOf/read Lesen von Gruppenmitgliedschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale
microsoft.directory/servicePrincipals/owners/read Lesen der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/ownedObjects/read Lesen der Objekte im Besitz von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/read Lesen der Richtlinien von Dienstprinzipalen
microsoft.directory/subscribedSkus/standard/read Lesen grundlegender Eigenschaften für Abonnements
microsoft.directory/users/standard/read Lesen grundlegender Eigenschaften für Benutzer
microsoft.directory/users/appRoleAssignments/read Lesen von Anwendungsrollenzuweisungen für Benutzer
microsoft.directory/users/deviceForResourceAccount/read Lesen von deviceForResourceAccount von Benutzern
microsoft.directory/users/directReports/read Lesen von direkten Berichten für Benutzer
microsoft.directory/users/licenseDetails/read Lesen von Lizenzdetails von Benutzern
microsoft.directory/users/manager/read Lesen der Manager von Benutzern
microsoft.directory/users/memberOf/read Lesen von Gruppenmitgliedschaften von Benutzern
microsoft.directory/users/oAuth2PermissionGrants/read Lesen delegierter Berechtigungszuweisungen für Benutzer
microsoft.directory/users/ownedDevices/read Lesen von Geräten im Besitz von Benutzern
microsoft.directory/users/ownedObjects/read Lesen von Objekten im Besitz von Benutzern
microsoft.directory/users/photo/read Lesen des Fotos von Benutzern
microsoft.directory/users/registeredDevices/read Lesen von registrierten Geräten von Benutzern
microsoft.directory/users/scopedRoleMemberOf/read Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist
microsoft.directory/users/sponsors/read Lesen von Sponsoren von Benutzern

Konten zur Verzeichnissynchronisierung

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wird automatisch dem Microsoft Entra Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.

Aktionen BESCHREIBUNG
microsoft.directory/applications/create Erstellen aller Anwendungstypen
microsoft.directory/applications/delete Löschen aller Anwendungstypen
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/credentials/update Aktualisieren von Anwendungsanmeldeinformationen
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID.
Symbol für privilegierte Bezeichnung
microsoft.directory/organization/dirSync/update Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis
microsoft.directory/passwordHashSync/allProperties/allTasks Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID.
microsoft.directory/policies/create Erstellen von Richtlinien in Microsoft Entra ID.
microsoft.directory/policies/delete Löschen von Richtlinien in Microsoft Entra ID.
microsoft.directory/policies/standard/read Lesen grundlegender Eigenschaften für Richtlinien
microsoft.directory/policies/owners/read Lesen der Besitzer von Richtlinien
microsoft.directory/policies/policyAppliedTo/read Lesen der policies.policyAppliedTo-Eigenschaft
microsoft.directory/policies/basic/update Aktualisieren grundlegender Eigenschaften für Richtlinien
Symbol für privilegierte Bezeichnung
microsoft.directory/policies/owners/update Aktualisieren der Besitzer von Richtlinien
microsoft.directory/policies/tenantDefault/update Aktualisieren von Standardorganisationsrichtlinien
microsoft.directory/servicePrincipals/create Erstellen von Dienstprinzipalen
microsoft.directory/servicePrincipals/delete Löschen von Dienstprinzipalen
microsoft.directory/servicePrincipals/enable Aktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/disable Deaktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lesen der Rollenzuweisungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/appRoleAssignments/read Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind
microsoft.directory/servicePrincipals/standard/read Lesen sämtlicher Eigenschaften von Dienstprinzipalen
microsoft.directory/servicePrincipals/memberOf/read Lesen von Gruppenmitgliedschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale
microsoft.directory/servicePrincipals/owners/read Lesen der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/ownedObjects/read Lesen der Objekte im Besitz von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/read Lesen der Richtlinien von Dienstprinzipalen
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/servicePrincipals/audience/update Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/authentication/update Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/basic/update Aktualisieren grundlegender Eigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/credentials/update Aktualisieren der Anmeldeinformationen von Dienstprinzipalen
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/notes/update Aktualisieren von Hinweisen zu Dienstprinzipalen
microsoft.directory/servicePrincipals/owners/update Aktualisieren der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Berechtigungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Richtlinien für Dienstprinzipale
microsoft.directory/servicePrincipals/tag/update Aktualisieren der tag-Eigenschaft für Dienstprinzipale

Verzeichnis schreiben

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können grundlegende Informationen von Benutzern, Gruppen und Dienstprinzipalen lesen und aktualisieren.

Aktionen Beschreibung
microsoft.directory/applications/extensionProperties/update Aktualisieren von Erweiterungseigenschaften von Anwendungen
microsoft.directory/contacts/create Erstellen von Kontakten
microsoft.directory/groups/assignLicense Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/create Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/classification/update Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/dynamicMembershipRule/update Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/groupType/update Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/onPremWriteBack/update Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen.
microsoft.directory/groups/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/settings/update Aktualisieren von Gruppeneinstellungen
microsoft.directory/groups/visibility/update Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groupSettings/create Create group settings (Gruppeneinstellungen erstellen)
microsoft.directory/groupSettings/delete Delete group settings (Gruppeneinstellungen löschen)
microsoft.directory/groupSettings/basic/update Aktualisieren grundlegender Eigenschaften für Gruppeneinstellungen
microsoft.directory/oAuth2PermissionGrants/create Erstellen von OAuth 2.0-Berechtigungszuweisungen
Symbol für privilegierte Bezeichnung
microsoft.directory/oAuth2PermissionGrants/basic/update Aktualisieren von OAuth 2.0-Berechtigungszuweisungen
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationSchema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/users/assignLicense Verwalten von Benutzerlizenzen
microsoft.directory/users/create Hinzufügen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/inviteGuest Einladen von Gastbenutzern
microsoft.directory/users/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/photo/update Aktualisieren des Fotos von Benutzern
microsoft.directory/users/sponsors/update Aktualisieren von Sponsoren von Benutzern
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung

Domänennamenadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer*innen mit dieser Rolle können Domänennamen verwalten (lesen, hinzufügen, überprüfen, aktualisieren und löschen). Sie können auch Verzeichnisinformationen zu Benutzern, Gruppen und Anwendungen lesen, da diese Objekte Domänenabhängigkeiten besitzen. Bei lokalen Umgebungen können Benutzer mit dieser Rolle Domänennamen für den Verbund konfigurieren, sodass zugeordnete Benutzer immer lokal authentifiziert werden. Diese Benutzer können sich dann über einmaliges Anmelden (Single Sign-On, SSO) bei Microsoft Entra-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Verbundeinstellungen müssen über Microsoft Entra Connect synchronisiert werden, damit Benutzer auch über Berechtigungen zum Verwalten von Microsoft Entra Connect verfügen.

Aktionen BESCHREIBUNG
microsoft.directory/domains/allProperties/allTasks Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Dynamics 365-Administrator

Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Dynamics 365 Online, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Verwenden von Dienstadministratorrollen zum Verwalten Ihres Mandanten.

Hinweis

In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Dynamics 365-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Dynamics 365-Administrator“.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.dynamics365/allEntities/allTasks Verwalten sämtlicher Aspekte von Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Dynamics 365 Business Central-Administrator

Weisen Sie die Dynamics 365 Business Central-Administratorrolle Benutzern zu, welche die folgenden Aufgaben ausführen müssen:

  • Zugreifen auf Dynamics 365 Business Central-Umgebungen
  • Durchführen aller administrativen Aufgaben in Umgebungen
  • Verwalten des Lebenszyklus der Umgebungen des Kunden
  • Überwachen der auf Umgebungen installierten Erweiterungen
  • Steuern von Upgrades für Umgebungen
  • Durchführen von Datenexporten in Umgebungen
  • Lesen und Konfigurieren von Azure- und Microsoft 365-Dienstintegritätsdashboards

Diese Rolle bietet keine Berechtigungen für andere Dynamics 365-Produkte.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.directory/subscribedSkus/allProperties/read Lesen sämtlicher Eigenschaften von Produktabonnements
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Verwalten aller Aspekte von Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Edgeadministrator

Benutzer mit dieser Rolle können die Unternehmenswebsiteliste erstellen und verwalten, die für den Internet Explorer-Modus in Microsoft Edge erforderlich ist. Diese Rolle gewährt Berechtigungen zum Erstellen, Bearbeiten und Veröffentlichen der Websiteliste und ermöglicht darüber hinaus den Zugriff auf die Verwaltung von Supporttickets. Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.edge/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Exchange-Administrator

Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst verfügbar ist. Außerdem haben sie die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.

Hinweis

In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Exchange-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Exchange-Administrator“. Im Exchange Admin Center lautet sie „Exchange Online-Administrator“.

Aktionen BESCHREIBUNG
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/create Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/delete Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/restore Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/basic/update Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/members/update Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/owners/update Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.exchange/allEntities/basic/allTasks Verwalten sämtlicher Aspekte von Exchange Online
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für Exchange-Empfänger

Benutzer mit dieser Rolle haben Lesezugriff auf Empfänger und Schreibzugriff auf die Attribute dieser Empfänger in Exchange Online. Weitere Informationen finden Sie unter Empfänger in Exchange Server.

Aktionen BESCHREIBUNG
microsoft.office365.exchange/recipients/allProperties/allTasks Erstellen und Löschen aller Empfänger sowie Lesen und Aktualisieren aller Eigenschaften von Empfängern in Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Verwalten aller Aufgaben im Zusammenhang mit der Migration von Empfängern in Exchange Online

Administrator für Benutzerflows mit externer ID

Benutzer*innen mit dieser Rolle können Benutzerabläufe (auch als „integrierte“ Richtlinien bezeichnet) im Azure-Portal erstellen und verwalten. Diese Benutzer können HTML-/CSS-/JavaScript-Inhalte anpassen, MFA-Anforderungen ändern, Ansprüche im Token auswählen, API-Connectors und ihre Anmeldeinformationen verwalten und Sitzungseinstellungen für alle Benutzerflows in der Microsoft Entra-Organisation konfigurieren. Auf der anderen Seite bietet diese Rolle nicht die Möglichkeit, Benutzerdaten zu überprüfen oder Änderungen an Attributen vorzunehmen, die im Organisationsschema enthalten sind. Änderungen an Richtlinien des Identity Experience Framework (auch „benutzerdefinierte Richtlinien“ genannt) gehören ebenfalls nicht zum Berechtigungsumfang dieser Rolle.

Aktionen BESCHREIBUNG
microsoft.directory/b2cUserFlow/allProperties/allTasks Lesen und Konfigurieren von Benutzerflows in Azure Active Directory B2C

Administrator für Benutzerflowattribute mit externer ID

Benutzer mit dieser Rolle können benutzerdefinierte Attribute, die für alle Benutzerflows in der Microsoft Entra-Organisation verfügbar sind, hinzufügen und löschen. Daher können Benutzer mit dieser Rolle dem Benutzerschema neue Elemente hinzufügen und diese ändern und haben damit Einfluss auf das Verhalten aller Benutzerflows. Indirekt kann dies auch ändern, welche Daten von Benutzern abgefragt und letztendlich als Ansprüche an Anwendungen gesendet werden. Diese Rolle kann keine Benutzerflows bearbeiten.

Aktionen BESCHREIBUNG
microsoft.directory/b2cUserAttribute/allProperties/allTasks Lesen und Konfigurieren von Benutzerattributen in Azure Active Directory B2C

Externer Identitätsanbieteradministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Dieser Administrator verwaltet den Verbund zwischen Microsoft Entra-Organisationen und externen Identitätsanbietern. Benutzer mit dieser Rolle können neue Identitätsanbieter hinzufügen und alle verfügbaren Einstellungen (z.B. Authentifizierungspfad, Dienst-ID, zugewiesene Schlüsselcontainer) konfigurieren. Diese Benutzer können festlegen, dass die Microsoft Entra-Organisation Authentifizierungen von externen Identitätsanbietern vertraut. Die resultierenden Auswirkungen auf die Benutzerumgebung hängt vom Typ der Organisation ab:

  • Microsoft Entra-Organisationen für Mitarbeiter und Partner: Das Hinzufügen eines Verbunds (z. B. mit Gmail) hat sofortige Auswirkungen auf alle Gasteinladungen, die noch nicht eingelöst wurden. Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer.
  • Azure Active Directory B2C-Organisationen: Das Hinzufügen eines Verbunds (z. B. bei Facebook oder einer anderen Microsoft Entra-Organisation) wirkt sich nicht sofort auf die Endbenutzerflows aus, sondern erst, wenn der Identitätsanbieter in einem Benutzerflow als Option hinzugefügt wird (auch bezeichnet als „integrierte Richtlinie“). Ein Beispiel finden Sie unter Konfigurieren eines Microsoft-Kontos als Identitätsanbieter. Um Benutzerflows zu ändern, ist die Rolle „B2C-Benutzerflowadministrator“ mit eingeschränkten Rechen erforderlich.
Aktionen Beschreibung
microsoft.directory/domains/federation/update Aktualisieren der Verbundeigenschaft von Domänen
Symbol für privilegierte Bezeichnung
microsoft.directory/identityProviders/allProperties/allTasks Lesen und Konfigurieren von Identitätsanbietern in Azure Active Directory B2C
Symbol für privilegierte Bezeichnung

Fabric-Administrator

Benutzer*innen mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Fabric und Power BI, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Grundlegendes zu Fabric-Administratorrollen.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.powerApps.powerBI/allEntities/allTasks Verwalten sämtlicher Aspekte von Fabric und Power BI

Globaler Administrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben Zugriff auf alle Verwaltungsfunktionen in Microsoft Entra ID sowie auf Dienste, die Microsoft Entra-Identitäten wie das Microsoft 365 Defender-Portal, das Microsoft Purview Complianceportal, Exchange Online, SharePoint Online und Skype for Business Online verwenden. Globale Administrator*innen können Verzeichnisaktivitätsprotokolle anzeigen. Zudem können globale Administratoren ihre Zugriffsrechte erhöhen, um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten. Dadurch erhalten globale Administratoren mithilfe des entsprechenden Microsoft Entra-Mandanten Vollzugriff auf alle Azure-Ressourcen. Die Person, die die Anmeldung für die Microsoft Entra-Organisation vornimmt, wird ein globaler Administrator. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein. Globale Administratoren können das Kennwort für alle Benutzer und alle anderen Administratoren zurücksetzen. Ein globaler Administrator kann seine eigene Zuweisung als globaler Administrator nicht aufheben. Dadurch wird verhindert, dass eine Organisation über keine globalen Administratoren verfügt.

Hinweis

Als bewährte Methode empfiehlt Microsoft, dass Sie die Rolle "Globaler Administrator" weniger als fünf Personen in Ihrer Organisation zuweisen. Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.

Aktionen BESCHREIBUNG
microsoft.directory/accessReviews/allProperties/allTasks (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Microsoft Entra ID.
microsoft.directory/accessReviews/definitions/allProperties/allTasks Verwalten von Zugriffsüberprüfungen aller überprüfbarer Ressourcen in Microsoft Entra.
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern).
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind
microsoft.directory/applications/allProperties/allTasks Erstellen und Löschen von Anwendungen sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
microsoft.directory/applicationTemplates/instantiate Instanziieren von Kataloganwendungen über Anwendungsvorlagen
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/users/authenticationMethods/create Aktualisieren der Authentifizierungsmethoden für Benutzer*innen
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/delete Löschen von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/standard/read Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/basic/update Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/authorizationPolicy/allProperties/allTasks Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie
Symbol für privilegierte Bezeichnung
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/cloudAppSecurity/allProperties/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps
microsoft.directory/connectors/create Erstellen von Anwendungsproxyconnectors
microsoft.directory/connectors/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors
microsoft.directory/connectorGroups/create Erstellen von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/delete Löschen von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectorGroups/allProperties/update Aktualisieren sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/contacts/allProperties/allTasks Erstellen und Löschen von Kontakten sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/contracts/allProperties/allTasks Erstellen und Löschen von Partnerkontakten sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen
Symbol für privilegierte Bezeichnung
microsoft.directory/deletedItems/delete Dauerhaftes Löschen von Objekten, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems/restore Wiederherstellen vorläufig gelöschter Objekte in ihrem ursprünglichen Zustand
microsoft.directory/devices/allProperties/allTasks Erstellen und Löschen von Geräten sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/groupsAssignableToRoles/assignLicense Zuweisung einer Lizenz an Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen an Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/multiTenantOrganization/basic/update Aktualisieren grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/create Erstellen einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Beitreten zu einer Organisation mit mehreren Mandanten
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/standard/read Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualisieren der grundlegenden Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/create Erstellen eines Mandanten in einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/delete Löschen eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/standard/read Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/namedLocations/create Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/delete Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/namedLocations/basic/update Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren
microsoft.directory/deviceLocalCredentials/password/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts.
microsoft.directory/deviceManagementPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
microsoft.directory/deviceManagementPolicies/basic/update Aktualisieren grundlegender Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
Symbol für privilegierte Bezeichnung
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung
Symbol für privilegierte Bezeichnung
microsoft.directory/directoryRoles/allProperties/allTasks Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Erstellen und Löschen von Microsoft Entra-Rollenvorlagen sowie Lesen und Aktualisieren aller Eigenschaften.
microsoft.directory/domains/allProperties/allTasks Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/domains/federationConfiguration/standard/read Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/basic/update Aktualisieren der grundlegenden Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/create Erstellen einer Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/delete Löschen einer Verbundkonfiguration für Domänen
microsoft.directory/entitlementManagement/allProperties/allTasks Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/groups/allProperties/allTasks Erstellen und Löschen von Gruppen sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/groupsAssignableToRoles/create Erstellen einer Gruppe, der Rollen zugeordnet werden können
microsoft.directory/groupsAssignableToRoles/delete Löschen von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/restore Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualisieren von Gruppen, denen Rollen zugeordnet werden können
microsoft.directory/groupSettings/allProperties/allTasks Erstellen und Löschen von Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/groupSettingTemplates/allProperties/allTasks Erstellen und Löschen von Vorlagen für Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID.
Symbol für privilegierte Bezeichnung
microsoft.directory/identityProtection/allProperties/allTasks Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften in Microsoft Entra ID Protection.
Symbol für privilegierte Bezeichnung
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/organization/allProperties/allTasks Lesen und Aktualisieren aller Eigenschaften einer Organisation
microsoft.directory/passwordHashSync/allProperties/allTasks Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID.
microsoft.directory/policies/allProperties/allTasks Erstellen und Löschen von Richtlinien sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Verwalten sämtlicher Eigenschaften der Richtlinien für bedingten Zugriff
microsoft.directory/crossTenantAccessPolicy/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/partners/create Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualisieren mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähige Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Zurücksetzen mandantenübergreifender Synchronisierungsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualisieren mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Zurücksetzen mandantenübergreifender Zugriffsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen
microsoft.directory/privilegedIdentityManagement/allProperties/read Lesen aller Ressourcen in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren
Symbol für privilegierte Bezeichnung
microsoft.directory/roleAssignments/allProperties/allTasks Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften
microsoft.directory/roleDefinitions/allProperties/allTasks Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/serviceAction/activateService Ausführen der Aktion „Dienst aktivieren“ für einen Dienst
microsoft.directory/serviceAction/disableDirectoryFeature Ausführen der Dienstaktion „Verzeichnisfunktion deaktivieren“
microsoft.directory/serviceAction/enableDirectoryFeature Ausführen der Dienstaktion „Verzeichnisfunktion aktivieren“
microsoft.directory/serviceAction/getAvailableExtentionProperties Ausführen der Dienstaktion „getAvailableExtentionProperties“
microsoft.directory/servicePrincipals/allProperties/allTasks Erstellen und Löschen von Dienstprinzipalen sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung
microsoft.directory/servicePrincipals/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.directory/subscribedSkus/allProperties/allTasks Erwerben und Verwalten von Abonnements sowie Löschen von Abonnements
microsoft.directory/users/allProperties/allTasks Erstellen und Löschen von Benutzern sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/users/convertExternalToInternalMemberUser Konvertieren eines externen Benutzers in einen internen Benutzer
microsoft.directory/permissionGrantPolicies/create Erstellen von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/delete Löschen von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/basic/update Aktualisieren grundlegender Eigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/servicePrincipalCreationPolicies/create Erstellen von Erstellungsrichtlinien für Dienstprinzipale
microsoft.directory/servicePrincipalCreationPolicies/delete Löschen von Erstellungsrichtlinien für Dienstprinzipale
microsoft.directory/servicePrincipalCreationPolicies/standard/read Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualisieren grundlegender Eigenschaften von Erstellungsrichtlinien für Dienstprinzipale
microsoft.directory/tenantManagement/tenants/create Erstellen neuer Mandanten in Microsoft Entra ID.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lesen einer Karte mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/create Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/create Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/delete Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID.
microsoft.directory/pendingExternalUserProfiles/create Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/delete Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/basic/update Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/delete Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.azure.advancedThreatProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.cloudPC/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte der Office 365-Abrechnung
microsoft.commerce.billing/purchases/standard/read Kaufdienste im M365 Admin Center lesen
microsoft.dynamics365/allEntities/allTasks Verwalten sämtlicher Aspekte von Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/allTasks Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs
microsoft.flow/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Power Automate
microsoft.hardware.support/shippingAddress/allProperties/allTasks Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden
microsoft.hardware.support/shippingStatus/allProperties/read Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten
microsoft.insights/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte der Insights-App
microsoft.intune/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Verwalten sämtlicher Aspekte von Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Verwalten sämtlicher Aspekte von Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Verwalten aller Aspekte von eingebetteten SharePoint-Containern
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center
microsoft.office365.knowledge/learningSources/allProperties/allTasks Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App.
microsoft.office365.lockbox/allEntities/allTasks Verwalten sämtlicher Aspekte der Kunden-Lockbox
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.messageCenter/securityMessages/read Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center
microsoft.office365.migrations/allEntities/allProperties/allTasks Verwalten aller Aspekte von Microsoft 365-Migrationen
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Verwalten aller Aspekte des Security & Compliance Center
microsoft.office365.search/content/manage Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center.
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.sharePoint/allEntities/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.userCommunication/allEntities/allTasks Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.office365.yammer/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung
microsoft.powerApps/allEntities/allTasks Verwalten sämtlicher Aspekte von Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Verwalten sämtlicher Aspekte von Fabric und Power BI
microsoft.azure.print/allEntities/allProperties/allTasks Verwalten aller Ressourcen in Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten
microsoft.viva.goals/allEntities/allProperties/allTasks Alle Aspekte von Microsoft Viva Goals verwalten
microsoft.viva.pulse/allEntities/allProperties/allTasks Alle Aspekte von Microsoft Viva Pulse verwalten
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts

Globaler Leser

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer in dieser Rolle können in Microsoft 365-Diensten Einstellungen und administrative Informationen lesen, aber keine Verwaltungsaktionen ausführen. Die Rolle „Globaler Leser“ ist das Gegenstück zu „Globaler Administrator“, hat jedoch nur Leseberechtigungen. Weisen Sie die Rolle „Globaler Leser“ anstelle der Rolle „Globaler Administrator“ für Planungen, Audits oder Untersuchungen zu. Kombinieren Sie die Rolle „Globaler Leser“ mit anderen eingeschränkten Administratorrollen (z. B. Exchange-Administrator), um die Arbeit zu vereinfachen, ohne die Rolle „Globaler Administrator“ verwenden zu müssen. Die Rolle „Globaler Leser“ funktioniert mit Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, Teams Admin Center, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal, Azure-Portal und Device Management Admin Center.

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Kein Zugriff auf den Bereich „Kaufdienste“ im Microsoft 365 Admin Center.

Hinweis

Für die Rolle „Globaler Leser“ gelten die folgenden Einschränkungen:

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.directory/accessReviews/allProperties/read (Veraltet) Lesen aller Eigenschaften von Zugriffsüberprüfungen
microsoft.directory/accessReviews/definitions/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Microsoft Entra ID.
microsoft.directory/adminConsentRequestPolicy/allProperties/read Lesen aller Eigenschaften von Richtlinien für die Anforderung zur Administratoreinwilligung in Microsoft Entra ID.
microsoft.directory/administrativeUnits/allProperties/read Lesen aller Eigenschaften von Verwaltungseinheiten, einschließlich Mitgliedern
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind
microsoft.directory/applications/allProperties/read Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) aller Anwendungstypen
microsoft.directory/applications/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/cloudAppSecurity/allProperties/read Lesen aller Eigenschaften für Defender for Cloud-Apps
microsoft.directory/connectors/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors
microsoft.directory/connectorGroups/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/contacts/allProperties/read Lesen sämtlicher Eigenschaften für Kontakte
microsoft.directory/customAuthenticationExtensions/allProperties/read Lesen von benutzerdefinierten Authentifizierungserweiterungen
microsoft.directory/deviceLocalCredentials/standard/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts.
microsoft.directory/devices/allProperties/read Alle Eigenschaften von Geräten lesen
microsoft.directory/directoryRoles/allProperties/read Lesen aller Eigenschaften von Verzeichnisrollen
microsoft.directory/directoryRoleTemplates/allProperties/read Lesen aller Eigenschaften von Verzeichnisrollenvorlagen
microsoft.directory/domains/allProperties/read Lesen sämtlicher Eigenschaften von Domänen
microsoft.directory/domains/federationConfiguration/standard/read Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen
microsoft.directory/entitlementManagement/allProperties/read Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/externalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/groups/allProperties/read Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Sicherheits- und Microsoft 365-Gruppen (einschließlich Gruppen, denen Rollen zugewiesen werden können)
microsoft.directory/groupSettings/allProperties/read Lesen sämtlicher Eigenschaften von Gruppeneinstellungen
microsoft.directory/groupSettingTemplates/allProperties/read Lesen sämtlicher Eigenschaften von Vorlagen für Gruppeneinstellungen
microsoft.directory/identityProtection/allProperties/read Lesen aller Ressourcen in Microsoft Entra ID Protection.
microsoft.directory/loginOrganizationBranding/allProperties/read Lesen sämtlicher Eigenschaften für die Anmeldeseite Ihrer Organisation mit Branding
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/oAuth2PermissionGrants/allProperties/read Lesen sämtlicher Eigenschaften von OAuth 2.0-Berechtigungszuweisungen
microsoft.directory/organization/allProperties/read Lesen sämtlicher Eigenschaften für eine Organisation
microsoft.directory/pendingExternalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung
microsoft.directory/policies/allProperties/read Alle Eigenschaften von Richtlinien lesen
microsoft.directory/conditionalAccessPolicies/allProperties/read Lesen sämtlicher Eigenschaften der Richtlinien für bedingten Zugriff
microsoft.directory/crossTenantAccessPolicy/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen
microsoft.directory/deviceManagementPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/standard/read Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/standard/read Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/privilegedIdentityManagement/allProperties/read Lesen aller Ressourcen in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/roleAssignments/allProperties/read Lesen aller Eigenschaften von Rollenzuweisungen
microsoft.directory/roleDefinitions/allProperties/read Lesen aller Eigenschaften von Rollendefinitionen
microsoft.directory/scopedRoleMemberships/allProperties/read Anzeigen der Mitglieder von Verwaltungseinheiten
microsoft.directory/serviceAction/getAvailableExtentionProperties Ausführen der Dienstaktion „getAvailableExtentionProperties“
microsoft.directory/servicePrincipals/allProperties/read Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.directory/subscribedSkus/allProperties/read Lesen sämtlicher Eigenschaften von Produktabonnements
microsoft.directory/users/allProperties/read Lesen sämtlicher Eigenschaften von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lesen einer Karte mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Lesen aller Eigenschaften von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID.
microsoft.cloudPC/allEntities/allProperties/read Lesen sämtlicher Aspekte von Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Lesen sämtlicher Ressourcen der Office 365-Abrechnung
microsoft.commerce.billing/purchases/standard/read Kaufdienste im M365 Admin Center lesen
microsoft.edge/allEntities/allProperties/read Lesen sämtlicher Aspekte von Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/read Lesen aller Aspekte des Microsoft Entra-Netzwerkzugriffs
microsoft.hardware.support/shippingAddress/allProperties/read Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden
microsoft.hardware.support/shippingStatus/allProperties/read Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen
microsoft.hardware.support/warrantyClaims/allProperties/read Microsoft-Hardwaregarantieansprüche lesen
microsoft.insights/allEntities/allProperties/read Lesen aller Aspekte von Viva Insights
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Lesen von Entitäten und Berechtigungen von eingebetteten SharePoint-Containern
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.messageCenter/securityMessages/read Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten
microsoft.office365.protectionCenter/allEntities/allProperties/read Lesen aller Eigenschaften im Security & Compliance Center
microsoft.office365.securityComplianceCenter/allEntities/read Lesen von Standardeigenschaften im Microsoft 365 Security and Compliance Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.office365.yammer/allEntities/allProperties/read Lesen sämtlicher Aspekte von Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Lesen aller Aspekte der Microsoft Entra-Berechtigungsverwaltung
microsoft.teams/allEntities/allProperties/read Lesen aller Eigenschaften von Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Lesen aller Aspekte von Virtual Visits
microsoft.viva.goals/allEntities/allProperties/read Alle Aspekte von Microsoft Viva Goals lesen
microsoft.viva.pulse/allEntities/allProperties/read Alle Aspekte von Microsoft Viva Pulse lesen
microsoft.windows.updatesDeployments/allEntities/allProperties/read Lesen aller Aspekte des Windows Update-Diensts

Global Secure Access-Administrator

Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Global Secure Access-Administrator“ zu:

  • Erstellen und Verwalten aller Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs
  • Verwalten des Zugriffs auf öffentliche und private Endpunkte

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Sie können Unternehmensanwendungen, Anwendungsregistrierungen, bedingten Zugriff oder Anwendungsproxyeinstellungen nicht verwalten.

Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.directory/applicationPolicies/standard/read Lesen der Standardeigenschaften von Anwendungsrichtlinien
microsoft.directory/applications/applicationProxy/read Lesen aller Anwendungsproxyeigenschaften
microsoft.directory/applications/owners/read Lesen der Besitzer von Anwendungen
microsoft.directory/applications/policies/read Lesen der Richtlinien von Anwendungen
microsoft.directory/applications/standard/read Lesen der Standardeigenschaften von Anwendungen
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/conditionalAccessPolicies/standard/read Lesen von Richtlinien für bedingten Zugriff
microsoft.directory/connectorGroups/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxy-Connectorgruppen
microsoft.directory/connectors/allProperties/read Lesen sämtlicher Eigenschaften von Anwendungsproxyconnectors
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.networkAccess/allEntities/allProperties/allTasks Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Gruppenadministrator

Benutzer mit dieser Rolle können Gruppen und die zugehörigen Einstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten. Es ist wichtig zu verstehen, dass der Benutzer durch die Zuweisung dieser Rolle alle Gruppen in der Organisation nicht nur in Outlook, sondern in verschiedenen Workloads wie Teams, SharePoint und Yammer verwalten kann. Außerdem kann der Benutzer die verschiedenen Gruppeneinstellungen in verschiedenen Verwaltungsportalen wie Microsoft Admin Center und dem Azure-Portal sowie den workloadspezifischen Portalen wie Teams Admin Center und SharePoint Admin Center verwalten.

Aktionen Beschreibung
microsoft.directory/deletedItems.groups/delete Dauerhaftes Löschen von Gruppen, die nicht mehr wiederhergestellt werden können.
microsoft.directory/deletedItems.groups/restore Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen
microsoft.directory/groups/assignLicense Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/create Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/delete Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/restore Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container
microsoft.directory/groups/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/classification/update Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/dynamicMembershipRule/update Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/groupType/update Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/onPremWriteBack/update Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen.
microsoft.directory/groups/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/settings/update Aktualisieren von Gruppeneinstellungen
microsoft.directory/groups/visibility/update Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Gasteinladender

Wenn die Benutzereinstellung Mitglieder können einladen auf „Nein“ festgelegt ist, können Benutzer in dieser Rolle Microsoft Entra B2B-Gastbenutzereinladungen verwalten. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Was ist die Microsoft Entra B2B-Zusammenarbeit?. Es sind keine anderen Berechtigungen eingeschlossen.

Aktionen BESCHREIBUNG
microsoft.directory/users/inviteGuest Einladen von Gastbenutzern
microsoft.directory/users/standard/read Lesen grundlegender Eigenschaften für Benutzer
microsoft.directory/users/appRoleAssignments/read Lesen von Anwendungsrollenzuweisungen für Benutzer
microsoft.directory/users/deviceForResourceAccount/read Lesen von deviceForResourceAccount von Benutzern
microsoft.directory/users/directReports/read Lesen von direkten Berichten für Benutzer
microsoft.directory/users/licenseDetails/read Lesen von Lizenzdetails von Benutzern
microsoft.directory/users/manager/read Lesen der Manager von Benutzern
microsoft.directory/users/memberOf/read Lesen von Gruppenmitgliedschaften von Benutzern
microsoft.directory/users/oAuth2PermissionGrants/read Lesen delegierter Berechtigungszuweisungen für Benutzer
microsoft.directory/users/ownedDevices/read Lesen von Geräten im Besitz von Benutzern
microsoft.directory/users/ownedObjects/read Lesen von Objekten im Besitz von Benutzern
microsoft.directory/users/photo/read Lesen des Fotos von Benutzern
microsoft.directory/users/registeredDevices/read Lesen von registrierten Geräten von Benutzern
microsoft.directory/users/scopedRoleMemberOf/read Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist
microsoft.directory/users/sponsors/read Lesen von Sponsoren von Benutzern

Helpdeskadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Kennwörter ändern, Aktualisierungstoken für ungültig erklären, Supportanfragen bei Microsoft für Azure- und Microsoft 365-Dienste verwalten und die Dienstintegrität überwachen. Wenn ein Aktualisierungstoken für ungültig erklärt wird, muss sich der Benutzer erneut anmelden. Ob ein Helpdeskadministrator das Kennwort eines Benutzers zurücksetzen und Aktualisierungstoken ungültig machen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Helpdeskadministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

Wichtig

Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:

  • Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Helpdeskadministratoren nicht gewährt werden. So kann ein Helpdeskadministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
  • Besitzer von Azure-Abonnements, die möglicherweise auf vertrauliche oder private Informationen oder kritische Konfigurationen in Azure zugreifen können.
  • Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
  • Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
  • Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.

Das Delegieren von administrativen Berechtigungen für Teilmengen von Benutzern und das Anwenden von Richtlinien auf eine Teilmenge der Benutzer kann über Verwaltungseinheiten erfolgen.

Im Azure-Portal hieß diese Rolle früher „Kennwortadministrator“. Sie wurde in „Helpdesk-Administrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.

Aktionen BESCHREIBUNG
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/deviceLocalCredentials/standard/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts.
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Hybrididentitätsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können das Setup der Bereitstellungskonfiguration von Active Directory zu Microsoft Entra ID mithilfe der Cloudbereitstellung erstellen, verwalten und bereitstellen sowie Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Sign-On (nahtloses SSO) und Verbundeinstellungen verwalten. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health. Mit dieser Rolle können Benutzer auch Probleme beheben und Protokolle überwachen.

Aktionen BESCHREIBUNG
microsoft.directory/applications/create Erstellen aller Anwendungstypen
microsoft.directory/applications/delete Löschen aller Anwendungstypen
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/applications/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind
microsoft.directory/applicationTemplates/instantiate Instanziieren von Kataloganwendungen über Anwendungsvorlagen
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/cloudProvisioning/allProperties/allTasks Lesen und Konfigurieren aller Eigenschaften des Microsoft Entra-Cloudbereitstellungsdiensts.
microsoft.directory/deletedItems.applications/delete Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.applications/restore Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand
microsoft.directory/domains/allProperties/read Lesen sämtlicher Eigenschaften von Domänen
microsoft.directory/domains/federation/update Aktualisieren der Verbundeigenschaft von Domänen
Symbol für privilegierte Bezeichnung
microsoft.directory/domains/federationConfiguration/standard/read Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/basic/update Aktualisieren der grundlegenden Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/create Erstellen einer Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/delete Löschen einer Verbundkonfiguration für Domänen
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID.
Symbol für privilegierte Bezeichnung
microsoft.directory/organization/dirSync/update Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis
microsoft.directory/passwordHashSync/allProperties/allTasks Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID.
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/servicePrincipals/create Erstellen von Dienstprinzipalen
microsoft.directory/servicePrincipals/delete Löschen von Dienstprinzipalen
microsoft.directory/servicePrincipals/disable Deaktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/enable Aktivieren von Dienstprinzipalen
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronizationSchema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/servicePrincipals/audience/update Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/authentication/update Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/basic/update Aktualisieren grundlegender Eigenschaften für Dienstprinzipale
microsoft.directory/servicePrincipals/notes/update Aktualisieren von Hinweisen zu Dienstprinzipalen
microsoft.directory/servicePrincipals/owners/update Aktualisieren der Besitzer von Dienstprinzipalen
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Berechtigungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Richtlinien für Dienstprinzipale
microsoft.directory/servicePrincipals/tag/update Aktualisieren der tag-Eigenschaft für Dienstprinzipale
microsoft.directory/servicePrincipals/synchronization/standard/read Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.directory/users/authorizationInfo/update Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Identity Governance-Administrator

Benutzer mit dieser Rolle können die Microsoft Entra ID-Governance-Konfiguration verwalten. Dies schließt die Verwaltung von Zugriffspaketen, Zugriffsüberprüfungen, Katalogen und Richtlinien ein. So kann sichergestellt werden, dass der Zugriff genehmigt und überprüft wurde und Gastbenutzer entfernt werden, wenn sie keinen Zugriff mehr benötigen.

Aktionen BESCHREIBUNG
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Microsoft Entra ID.
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/accessReviews/definitions.groups/create Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen
microsoft.directory/accessReviews/definitions.groups/delete Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen
microsoft.directory/accessReviews/allProperties/allTasks (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Microsoft Entra ID.
microsoft.directory/entitlementManagement/allProperties/allTasks Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale

Insights Administrator

Benutzer mit dieser Rolle können auf alle administrativen Funktionen in der Microsoft Viva Insights-App zugreifen. Diese Rolle kann Verzeichnisinformationen lesen, die Dienstintegrität überwachen, Supporttickets einordnen und auf die Einstellungsaspekte für Insights-Administratoren zugreifen.

Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.insights/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte der Insights-App
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Insights-Analyst

Weisen Sie die Rolle Insights-Analyst den Benutzern zu, die Folgendes tun müssen:

  • Analysieren von Daten in der Microsoft Viva Insights-App, sie können jedoch keine Konfigurationseinstellungen verwalten
  • Erstellen, Verwalten und Ausführen von Abfragen
  • Anzeigen von Grundeinstellungen und Berichten im Microsoft 365 Admin Center
  • Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center

Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.insights/queries/allProperties/allTasks Ausführen und Verwalten von Abfragen in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Insights Business Leader

Benutzer mit dieser Rolle können über die Microsoft Viva Insights-App auf eine Gruppe von Dashboards und Erkenntnisse zugreifen. Dies umfasst Vollzugriff auf alle Dashboards und die dargestellten Funktionen für Erkenntnisse sowie das Durchsuchen von Daten. Benutzer mit dieser Rolle haben keinen Zugriff auf die Einstellungen für die Produktkonfiguration, für die die Rolle „Insights-Administrator“ zuständig ist.

Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.insights/reports/allProperties/read Anzeigen von Berichten und Dashboards in der Insights-App
microsoft.insights/programs/allProperties/update Bereitstellen und Verwalten von Programmen in der Insights-App

Intune-Administrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Intune Online, wenn der Dienst verfügbar ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Mit dieser Rolle können alle Sicherheitsgruppen erstellt und verwaltet werden. Der Intune-Administrator besitzt jedoch keine Administratorrechte für Office-Gruppen. Der Administrator kann also keine Besitzer oder Mitgliedschaften aller Office-Gruppen in der Organisation aktualisieren. Im Rahmen seiner Endbenutzerberechtigungen kann er allerdings die von ihm erstellte Office-Gruppe verwalten. Daher zählt jede von ihm erstellte Office-Gruppe (nicht Sicherheitsgruppe) zu seinem Kontingent von 250 Stück.

Hinweis

In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Intune-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Intune-Administrator“.

Aktionen BESCHREIBUNG
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/contacts/create Erstellen von Kontakten
microsoft.directory/contacts/delete Löschen von Kontakten
microsoft.directory/contacts/basic/update Aktualisieren grundlegender Eigenschaften für Kontakte
microsoft.directory/deletedItems.devices/delete Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.devices/restore Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand
microsoft.directory/devices/create Erstellen von Geräten (Registrieren bei Microsoft Entra ID).
microsoft.directory/devices/delete Löschen von Geräten aus Microsoft Entra ID
microsoft.directory/devices/disable Deaktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/enable Aktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/basic/update Aktualisieren grundlegender Eigenschaften für Geräte
microsoft.directory/devices/extensionAttributeSet1/update Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten
microsoft.directory/devices/extensionAttributeSet2/update Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten
microsoft.directory/devices/extensionAttributeSet3/update Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten
microsoft.directory/devices/registeredOwners/update Lesen der registrierten Besitzer von Geräten
microsoft.directory/devices/registeredUsers/update Aktualisieren der registrierten Besitzer von Geräten
microsoft.directory/deviceLocalCredentials/password/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts.
microsoft.directory/deviceManagementPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/create Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/delete Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/classification/update Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/visibility/update Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/photo/update Aktualisieren des Fotos von Benutzern
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.cloudPC/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Windows 365
microsoft.intune/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Kaizala-Administrator

Benutzer mit dieser Rolle besitzen globale Berechtigungen zum Verwalten von Einstellungen in Microsoft Kaizala, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Darüber hinaus können diese Benutzer auf Berichte zur Einführung und Nutzung von Kaizala durch Mitglieder der Organisation sowie auf Geschäftsberichte zugreifen, die mithilfe von Kaizala-Aktionen generiert wurden.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Wissensadministrator

Benutzer mit dieser Rolle haben Vollzugriff auf alle Einstellungen für Wissens-, Lern- und intelligenten Features im Microsoft 365 Admin Center. Sie verfügen über ein allgemeines Verständnis der Produktsuite und der Lizenzierungsdetails und sind für die Zugriffssteuerung verantwortlich. Der Wissensadministrator kann Inhalte wie Themen, Akronyme und Lernressourcen erstellen und verwalten. Darüber hinaus können diese Benutzer Inhaltscenter erstellen, die Dienstintegrität überwachen und Service Requests erstellen.

Aktionen BESCHREIBUNG
microsoft.directory/groups.security/create Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/createAsOwner Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt.
microsoft.directory/groups.security/delete Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center
microsoft.office365.knowledge/learningSources/allProperties/allTasks Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Lesen aller Eigenschaften von Vertraulichkeitsbezeichnungen im Security and Compliance Center
microsoft.office365.sharePoint/allEntities/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Wissens-Manager

Benutzer in dieser Rolle können Inhalte wie Themen, Akronyme und Lerninhalte erstellen und verwalten. Diese Benutzer sind in erster Linie für die Qualität und Struktur von Wissen zuständig. Dieser Benutzer hat vollständige Rechte für Themenverwaltungsaktionen zum Bestätigen eines Themas, Genehmigen von Bearbeitungen oder Löschen eines Themas. Diese Rolle kann auch Taxonomien im Rahmen des Begriffs „Speicherverwaltungstool“ verwalten und Inhaltscenter erstellen.

Aktionen BESCHREIBUNG
microsoft.directory/groups.security/create Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/createAsOwner Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt.
microsoft.directory/groups.security/delete Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center
microsoft.office365.sharePoint/allEntities/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Lizenzadministrator

Benutzer mit dieser Rolle können Lizenzzuweisungen für Benutzer und Gruppen (unter Verwendung der gruppenbasierten Lizenzierung) lesen, hinzufügen, entfernen und aktualisieren sowie den Verwendungsstandort für Benutzer verwalten. Mit dieser Rolle ist es nicht möglich, Abonnements zu erwerben oder zu verwalten, Gruppen zu erstellen oder zu verwalten oder Benutzer zu erstellen oder zu verwalten (mit Ausnahme des Verwendungsstandorts). Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/groups/assignLicense Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung
microsoft.directory/users/assignLicense Verwalten von Benutzerlizenzen
microsoft.directory/users/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer
microsoft.directory/users/usageLocation/update Aktualisieren des Verwendungsstandorts von Benutzern
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Lebenszyklus-Workflowadministrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Lebenszyklus-Workflowadministrator zu:

  • Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID.
  • Überprüfen der Ausführung geplanter Workflows
  • Starten von On-Demand-Workflowausführungen
  • Überprüfen von Workflowausführungsprotokollen
Aktionen Beschreibung
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID.
microsoft.directory/organization/strongAuthentication/read Lesen von Eigenschaften für eine sichere Authentifizierung in einer Organisation

Nachrichtencenter-Datenschutzleseberechtigter

Benutzer mit dieser Rolle können alle Benachrichtigungen im Nachrichtencenter überwachen, einschließlich Nachrichten zum Datenschutz. Nachrichtencenter-Datenschutzleseberechtigte erhalten E-Mail-Benachrichtigungen, einschließlich Nachrichten zum Datenschutz, und können Benachrichtigungen mithilfe der Einstellungen im Nachrichtencenter abbestellen. Nur der globale Administrator und Nachrichtencenter-Datenschutzleseberechtigte können Nachrichten zum Datenschutz lesen. Darüber hinaus umfasst diese Rolle die Berechtigung zum Anzeigen von Gruppen, Domänen und Abonnements. Diese Rolle umfasst keine Berechtigung zum Anzeigen, Erstellen oder Verwalten von Service Requests.

Aktionen BESCHREIBUNG
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.messageCenter/securityMessages/read Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Nachrichtencenter-Leser

Benutzer mit dieser Rolle können Benachrichtigungen und empfohlene Integritätsupdates für ihre Organisation und die konfigurierten Dienste wie Exchange, Intune und Microsoft Teams im Nachrichtencenter überwachen. Nachrichtencenter-Leser erhalten eine wöchentliche E-Mail-Übersicht der Beiträge und Updates und können Beiträge in Microsoft 365 teilen. In Microsoft Entra ID haben Benutzer, denen diese Rolle zugewiesen wurde, nur schreibgeschützten Zugriff auf Microsoft Entra-Dienste wie Benutzer und Gruppen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.

Aktionen BESCHREIBUNG
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Microsoft 365-Migrationsadministrator*in

Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft 365-Migrationsadministrator*in“ zu:

  • Verwenden des Migrations-Managers in Microsoft 365 Admin Center zum Verwalten der Inhaltsmigration zu Microsoft 365 (einschließlich Teams, OneDrive for Business und SharePoint-Websites von Google Drive, Dropbox, Box und Egnyte)
  • Auswählen von Migrationsquellen, Erstellen von Migrationsinventaren (z. B. Google Drive-Benutzerlisten), Planen und Durchführen von Migrationen sowie Herunterladen von Berichten
  • Erstellen neuer SharePoint-Websites (wenn die Zielwebsites noch nicht vorhanden sind), Erstellen von SharePoint-Listen unter den SharePoint-Administratorwebsites sowie Erstellen und Aktualisieren von Elementen in SharePoint-Listen
  • Verwalten von Migrationsprojekteinstellungen und Migrationslebenszyklen für Aufgaben
  • Verwalten von Berechtigungszuordnungen von Quelle zu Ziel

Hinweis

Mit dieser Rolle können Sie nicht über SharePoint Admin Center aus Dateifreigabequellen migrieren. Sie können die SharePoint-Administratorrolle verwenden, um aus Dateifreigabequellen zu migrieren.

Weitere Informationen

Aktionen Beschreibung
microsoft.office365.migrations/allEntities/allProperties/allTasks Verwalten aller Aspekte von Microsoft 365-Migrationen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen

Lokaler Administrator des in Microsoft Entra eingebundenen Geräts

Diese Rolle kann nur als zusätzlicher lokaler Administrator in den Geräteeinstellungen zugewiesen werden. Benutzer mit dieser Rolle werden auf allen Windows 10-Geräten, die in Microsoft Entra ID eingebunden sind, als Administratoren für den lokalen Computer festgelegt. Sie haben nicht die Möglichkeit zum Verwalten von Geräteobjekten in Microsoft Entra ID.

Aktionen BESCHREIBUNG
microsoft.directory/groupSettings/standard/read Lesen grundlegender Eigenschaften für Gruppeneinstellungen
microsoft.directory/groupSettingTemplates/standard/read Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen

Microsoft-Hardwaregarantieadministrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft-Hardwaregarantieadministrator“ zu:

  • Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
  • Suchen nach und Lesen von offenen oder abgeschlossenen Garantieansprüchen
  • Suchen nach und Lesen von Garantieansprüchen nach Seriennummer
  • Erstellen, Lesen, Aktualisieren und Löschen von Lieferadressen
  • Lesen des Lieferstatus für offene Garantieansprüche
  • Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
  • Lesen von Ankündigungen des Nachrichtencenters im Microsoft 365 Admin Center

Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.

Aktionen BESCHREIBUNG
microsoft.hardware.support/shippingAddress/allProperties/allTasks Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden
microsoft.hardware.support/shippingStatus/allProperties/read Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Microsoft Hardware Warranty Specialist

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft Hardware Warranty Specialist“ zu:

  • Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
  • Lesen der von ihnen erstellten Garantieansprüche
  • Lesen und Aktualisieren vorhandener Lieferadressen
  • Lesen des Lieferstatus für von ihnen erstellte offene Garantieansprüche
  • Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center

Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.

Aktionen BESCHREIBUNG
microsoft.hardware.support/shippingAddress/allProperties/read Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden
microsoft.hardware.support/warrantyClaims/createAsOwner Microsoft-Hardwaregarantieansprüche erstellen, bei denen der Ersteller der Besitzer ist
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.hardware.support/shippingStatus/allProperties/read Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen
microsoft.hardware.support/warrantyClaims/allProperties/read Microsoft-Hardwaregarantieansprüche lesen

Moderner Commerceadministrator

Darf nicht verwendet werden. Diese Rolle wird automatisch von Commerce zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt. Die Details hierzu finden Sie unten.

Mit der Rolle „Moderner Commerceadministrator“ sind bestimmte Benutzer berechtigt, auf Microsoft 365 Admin Center zuzugreifen und die linken Navigationseinträge für Home, Abrechnung und Support anzuzeigen. Der in diesen Bereichen verfügbare Inhalt wird von commercespezifischen Rollen gesteuert, die Benutzern zugewiesen werden, um Produkte zu verwalten, die sie für sich selbst oder für Ihre Organisation gekauft haben. Dies kann Aufgaben wie das Bezahlen von Rechnungen oder den Zugriff auf Abrechnungskonten und Abrechnungsprofile umfassen.

Benutzer mit der Rolle „Moderner Commerce-Administrator“ verfügen in der Regel über administrative Berechtigungen in anderen Microsoft-Einkaufssystemen, jedoch nicht über die Rollen „Unternehmensadministrator“ oder „Abrechnungsadministrator“, die für den Zugriff auf Admin Center verwendet werden.

Wann wird die Rolle „Moderner Commerceadministrator“ zugewiesen?

  • Self-Service-Käufe in Microsoft 365 Admin Center: Self-Service-Käufe bieten Benutzern die Möglichkeit, neue Produkte zu testen, indem sie sich diese Produkte selbst kaufen oder sich dafür registrieren. Diese Produkte werden in Admin Center verwaltet. Benutzern, die einen Self-Service-Kauf tätigen, wird eine Rolle im Commerce System und die Rolle „Moderner Commerceadministrator“ zugewiesen, damit sie ihre Käufe in Admin Center verwalten können. Administrator*innen können über PowerShell Self-Service-Käufe (für Fabric, Power BI, Power Apps, Power Automate) blockieren. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Self-Service-Einkäufen.
  • Käufe über den kommerziellen Microsoft Marketplace: Wenn ein Benutzer ein Produkt oder einen Dienst von Microsoft AppSource oder Azure Marketplace kauft, wird ähnlich wie beim Self-Service-Kauf die Rolle „Moderner Commerce-Administrator“ zugewiesen, wenn er nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt. In einigen Fällen werden Benutzer möglicherweise daran gehindert, diese Käufe durchzuführen. Weitere Informationen finden Sie unter Kommerzieller Microsoft Marketplace.
  • Vorschläge von Microsoft: Ein Vorschlag ist ein formales Angebot von Microsoft für Ihre Organisation für den Kauf von Microsoft-Produkten und -Diensten. Wenn der Benutzer, der den Vorschlag annimmt, in Microsoft Entra ID nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt, wird ihm eine commercespezifische Rolle zugewiesen, um den Vorschlag abzuschließen. Darüber hinaus erhält er die Rolle Moderner Commerce-Administrator für den Zugriff auf das Admin Center. Wenn diese Person auf Admin Center zugreifen, kann sie nur Funktionen verwenden, die von ihrer commercespezifischen Rolle autorisiert werden.
  • Commercespezifische Rollen: Einigen Benutzern werden commercespezifische Rollen zugewiesen. Wenn ein Benutzer kein globaler Administrator oder Abrechnungsadministrator ist, erhält er die Rolle „Modern Commerce-Benutzer“, damit er auf Admin Center zugreifen kann.

Wenn die Zuweisung der Rolle „Moderner Commerceadministrator“ für einen Benutzer aufgehoben wird, verliert er den Zugriff auf Microsoft 365 Admin Center. Wenn er Produkte entweder für sich selbst oder für Ihre Organisation verwaltet hat, kann er die Verwaltung nicht fortsetzen. Dies kann das Zuweisen von Lizenzen, das Ändern von Zahlungsmethoden, das Bezahlen von Rechnungen oder andere Aufgaben zum Verwalten von Abonnements umfassen.

Aktionen BESCHREIBUNG
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Verwalten sämtlicher Aspekte des Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/basic/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Netzwerkadministrator

Benutzer mit dieser Rolle können Empfehlungen zur Netzwerkumkreisarchitektur von Microsoft überprüfen, die auf Netzwerktelemetriedaten von ihren Benutzerstandorten basieren. Die Netzwerkleistung für Microsoft 365 basiert auf einer sorgfältigen Netzwerkumkreisarchitektur für Unternehmenskunden, die im Allgemeinen für den Benutzerstandort spezifisch ist. Diese Rolle ermöglicht das Bearbeiten von ermittelten Benutzerstandorten und das Konfigurieren von Netzwerkparametern für diese Standorte, um verbesserte Telemetriemessungen und Entwurfsempfehlungen zu ermöglichen.

Aktionen BESCHREIBUNG
microsoft.office365.network/locations/allProperties/allTasks Verwalten sämtlicher Aspekte von Netzwerkstandorten
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Office-Apps-Administrator

Benutzer mit dieser Rolle können die Cloudeinstellungen von Microsoft 365-Apps verwalten. Dazu gehören die Verwaltung von Cloudrichtlinien, die Self-Service-Downloadverwaltung und die Möglichkeit, Office-Apps-bezogene Berichte anzuzeigen. Diese Rolle ermöglicht es außerdem, Supporttickets zu verwalten und die Dienstintegrität im Haupt-Admin Center zu überwachen. Benutzer, denen diese Rolle zugewiesen ist, können außerdem Mitteilungen zu neuen Features in Office-Apps verwalten.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.userCommunication/allEntities/allTasks Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Organisationsbrandingadministrator

Weisen Sie die Rolle „Organisationsbrandingadministrator“ Benutzern zu, die die folgenden Aufgaben ausführen müssen:

  • Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten
  • Lesen, Erstellen, Aktualisieren und Löschen von Brandingdesigns
  • Verwalten des standardmäßigen Brandingdesigns und aller Brandinglokalisierungsdesigns
Aktionen Beschreibung
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften

Schreiber für Organisationsnachrichten

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Schreiber für Organisationsnachrichten“ zu:

  • Schreiben, Veröffentlichen und Löschen von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
  • Verwalten von Optionen für die Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
  • Lesen der Ergebnisse der Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
  • Anzeigen von Verwendungsberichten und der meisten Einstellungen im Microsoft 365 Admin Center. Änderungen können aber nicht vorgenommen werden.
Aktionen BESCHREIBUNG
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten
microsoft.office365.usageReports/allEntities/standard/read Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Partnersupport der Ebene 1

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.

Wichtig

Diese Rolle kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.

Aktionen BESCHREIBUNG
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/credentials/update Aktualisieren von Anwendungsanmeldeinformationen
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/contacts/create Erstellen von Kontakten
microsoft.directory/contacts/delete Löschen von Kontakten
microsoft.directory/contacts/basic/update Aktualisieren grundlegender Eigenschaften für Kontakte
microsoft.directory/deletedItems.groups/restore Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen
microsoft.directory/deletedItems.users/restore Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand
microsoft.directory/groups/create Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/delete Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/restore Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/users/assignLicense Verwalten von Benutzerlizenzen
microsoft.directory/users/create Hinzufügen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/delete Löschen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/restore Wiederherstellen gelöschter Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/photo/update Aktualisieren des Fotos von Benutzern
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Partnersupport der Ebene 2

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.

Wichtig

Diese Rolle kann für Benutzer mit und ohne Administratorrechte (einschließlich globale Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.

Aktionen BESCHREIBUNG
microsoft.directory/applications/appRoles/update Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen
microsoft.directory/applications/audience/update Aktualisieren der audience-Eigenschaft für Anwendungen
microsoft.directory/applications/authentication/update Aktualisieren der Authentifizierung für alle Anwendungstypen
microsoft.directory/applications/basic/update Aktualisieren grundlegender Eigenschaften für Anwendungen
microsoft.directory/applications/credentials/update Aktualisieren von Anwendungsanmeldeinformationen
Symbol für privilegierte Bezeichnung
microsoft.directory/applications/notes/update Aktualisieren von Anwendungshinweisen
microsoft.directory/applications/owners/update Aktualisieren von Anwendungsbesitzern
microsoft.directory/applications/permissions/update Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/applications/tag/update Aktualisieren von Anwendungstags
microsoft.directory/contacts/create Erstellen von Kontakten
microsoft.directory/contacts/delete Löschen von Kontakten
microsoft.directory/contacts/basic/update Aktualisieren grundlegender Eigenschaften für Kontakte
microsoft.directory/deletedItems.groups/restore Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen
microsoft.directory/deletedItems.users/restore Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand
microsoft.directory/domains/allProperties/allTasks Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/groups/create Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/delete Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/restore Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/organization/basic/update Aktualisieren grundlegender Eigenschaften für Organisationen
microsoft.directory/roleAssignments/allProperties/allTasks Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften
microsoft.directory/roleDefinitions/allProperties/allTasks Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/subscribedSkus/standard/read Lesen grundlegender Eigenschaften für Abonnements
microsoft.directory/users/assignLicense Verwalten von Benutzerlizenzen
microsoft.directory/users/create Hinzufügen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/delete Löschen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/restore Wiederherstellen gelöschter Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/photo/update Aktualisieren des Fotos von Benutzern
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Kennwortadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben eingeschränkte Möglichkeiten zum Verwalten von Kennwörtern. Mit dieser Rolle werden keine Berechtigungen zum Verwalten von Dienstanforderungen oder zum Überwachen der Dienstintegrität gewährt. Ob ein Kennwortadministrator das Kennwort eines Benutzers zurücksetzen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Kennwortadministrator Kennwörter zurücksetzen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

Aktionen BESCHREIBUNG
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Berechtigungsverwaltungsadministrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Berechtigungsverwaltungsadministrator“ zu:

  • Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung, sofern der Dienst vorhanden ist

Weitere Informationen zu Berechtigungsverwaltungsrollen und -richtlinien finden Sie im Artikel zum Anzeigen von Informationen zu Rollen/Richtlinien.

Aktionen Beschreibung
microsoft.permissionsManagement/allEntities/allProperties/allTasks Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung

Power Platform-Administrator

Benutzer in dieser Rolle können alle Aspekte von Umgebungen, Power Apps, Flows und Richtlinien zur Verhinderung von Datenverlust erstellen und verwalten. Darüber hinaus verfügen Benutzer mit dieser Rolle über die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.dynamics365/allEntities/allTasks Verwalten sämtlicher Aspekte von Dynamics 365
microsoft.flow/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.powerApps/allEntities/allTasks Verwalten sämtlicher Aspekte von Power Apps

Druckeradministrator

Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte sämtlicher Druckerkonfigurationen in der Microsoft-Lösung für universelles Drucken verwalten, einschließlich der Connectoreinstellungen für universelles Drucken. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte.

Aktionen BESCHREIBUNG
microsoft.azure.print/allEntities/allProperties/allTasks Erstellen und Löschen von Druckern und Connectors sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Print

Druckertechniker

Benutzer mit dieser Rolle können Drucker registrieren und den Druckerstatus in der Microsoft-Lösung für universelles Drucken verwalten. Sie können außerdem alle Connectorinformationen lesen. Zu den Hauptaufgaben, die ein Druckertechniker nicht ausführen kann, gehören das Festlegen von Benutzerberechtigungen für Drucker sowie das Freigeben von Druckern.

Aktionen BESCHREIBUNG
microsoft.azure.print/connectors/allProperties/read Lesen aller Eigenschaften von Connectors in Microsoft Print
microsoft.azure.print/printers/allProperties/read Lesen aller Eigenschaften von Druckern in Microsoft Print
microsoft.azure.print/printers/register Registrieren von Druckern in Microsoft Print
microsoft.azure.print/printers/unregister Aufheben der Registrierung von Druckern in Microsoft Print
microsoft.azure.print/printers/basic/update Aktualisieren grundlegender Eigenschaften von Druckern in Microsoft Print

Privilegierter Authentifizierungsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „privilegierter Authentifizierungsadministrator“ zu:

  • Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für jeden Benutzer (einschließlich globale Administratoren).
  • Löschen oder Wiederherstellen von Benutzern, einschließlich globaler Administratoren. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
  • Erzwingen einer erneuten Registrierung von Benutzern anhand von vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) und Widerrufen der Einstellung Speichern der MFA auf dem Gerät, sodass alle Benutzer beim nächsten Anmeldevorgang zur MFA aufgefordert werden.
  • Aktualisieren vertraulicher Eigenschaften für alle Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
  • Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

  • Verwalten der MFA pro Benutzer im Legacy-MFA-Verwaltungsportal.

In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.

Role Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer Verwalten der MFA pro Benutzerin bzw. Benutzer Verwalten von MFA-Einstellungen Verwalten der Authentifizierungsmethodenrichtlinie Verwalten der Kennwortschutzrichtlinie Aktualisieren vertraulicher Eigenschaften Löschen und Wiederherstellen von Benutzerinnen und Benutzern
Authentifizierungsadministrator Ja, für einige Benutzer Ja, für einige Benutzer Nein Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer
Privilegierter Authentifizierungsadministrator Ja, für alle Benutzer Ja, für alle Benutzer Nein Nr. Nein Ja, für alle Benutzer Ja, für alle Benutzer
Authentifizierungsrichtlinienadministrator Nein Nein Ja Ja Ja Nr. Nein
Benutzeradministrator Nein Nr. Nr. Nr. Nein Ja, für einige Benutzer Ja, für einige Benutzer

Wichtig

Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:

  • Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
  • Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
  • Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
  • Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender- und Microsoft Purview-Complianceportal und Personalsysteme.
  • Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Aktionen Beschreibung
microsoft.directory/users/authenticationMethods/create Aktualisieren der Authentifizierungsmethoden für Benutzer*innen
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/delete Löschen von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/standard/read Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/authenticationMethods/basic/update Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/deletedItems.users/restore Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand
microsoft.directory/users/delete Löschen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/restore Wiederherstellen gelöschter Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/authorizationInfo/update Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für privilegierte Rollen

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Rollenzuweisungen sowohl in Microsoft Entra ID als auch innerhalb von Privileged Identity Management (PIM) von Microsoft Entra verwalten. Sie können Gruppen erstellen und verwalten, die Microsoft Entra-Rollen zugewiesen werden können. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von Privileged Identity Management und administrativer Einheiten.

Wichtig

Diese Rolle ermöglicht die Verwaltung von Zuweisungen für alle Microsoft Entra-Rollen, einschließlich der globalen Administratorrolle. Diese Rolle umfasst keine anderen privilegierten Funktionen in Microsoft Entra ID wie das Erstellen oder Aktualisieren von Benutzern. Benutzer, die dieser Rolle zugewiesen sind, können sich selbst oder anderen jedoch zusätzliche Berechtigungen gewähren, indem sie zusätzliche Rollen zuweisen.

Aktionen BESCHREIBUNG
microsoft.directory/accessReviews/definitions.applications/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen für Anwendungsrollenzuweisungen in Microsoft Entra ID.
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Verwalten von Zugriffsüberprüfungen für Microsoft Entra-Rollenzuweisungen.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/administrativeUnits/allProperties/allTasks Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern).
microsoft.directory/authorizationPolicy/allProperties/allTasks Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie
Symbol für privilegierte Bezeichnung
microsoft.directory/directoryRoles/allProperties/allTasks Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/groupsAssignableToRoles/create Erstellen einer Gruppe, der Rollen zugeordnet werden können
microsoft.directory/groupsAssignableToRoles/delete Löschen von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/restore Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualisieren von Gruppen, denen Rollen zugeordnet werden können
microsoft.directory/groupsAssignableToRoles/assignLicense Zuweisung einer Lizenz an Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen an Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften
microsoft.directory/roleDefinitions/allProperties/allTasks Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Berechtigungen von Dienstprinzipalen
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.directory/permissionGrantPolicies/create Erstellen von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/delete Löschen von Richtlinien für die Berechtigungszuweisung
microsoft.directory/permissionGrantPolicies/allProperties/read Alle Eigenschaften von Richtlinien zur Berechtigungszuweisung lesen
microsoft.directory/permissionGrantPolicies/allProperties/update Alle Eigenschaften von Richtlinien zur Berechtigungszuweisung aktualisieren

Meldet Reader

Benutzer*innen mit dieser Rolle können Nutzungsberichtsdaten und das Berichtsdashboard im Microsoft 365 Admin Center sowie das Einführungskontextpaket in Fabric und Power BI anzeigen. Darüber hinaus ermöglicht die Rolle den Zugriff auf alle Anmeldeprotokolle, Prüfprotokolle und Aktivitätsberichte in Microsoft Entra ID und von der Microsoft Graph-Berichterstellungs-API zurückgegebene Daten. Ein Benutzer, dem die Rolle „Meldet Reader“ zugewiesen ist, kann nur auf relevante Nutzungs- und Anpassungsmetriken zugreifen. Sie verfügen nicht über Administratorrechte, um Einstellungen zu konfigurieren oder auf produktspezifische Verwaltungskonsolen wie das Exchange Admin Center zuzugreifen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.

Aktionen BESCHREIBUNG
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Suchadministrator

Benutzer mit dieser Rolle haben Vollzugriff auf alle Microsoft Search-Verwaltungsfunktionen im Microsoft 365 Admin Center. Darüber hinaus können diese Benutzer das Nachrichtencenter anzeigen, die Dienstintegrität überwachen und Service Requests erstellen.

Aktionen BESCHREIBUNG
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.search/content/manage Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Such-Editor

Benutzer mit dieser Rolle können Inhalte für Microsoft Search im Microsoft 365 Admin Center erstellen, verwalten und löschen. Hierzu gehören Inhalte wie Lesezeichen, Fragen und Antworten sowie Standorte.

Aktionen BESCHREIBUNG
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.search/content/manage Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Sicherheitsadministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle verfügen über Berechtigungen zum Verwalten sicherheitsbezogener Features im Microsoft 365 Defender-Portal, in Microsoft Entra ID, inder Microsoft Entra-Authentifizierung, in Azure Information Protection und im Microsoft Purview-Complianceportal. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Geben Sie in Möglich
Microsoft 365 Defender-Portal Überwachen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten
Verwalten von Sicherheitsbedrohungen und Warnungen
Berichte anzeigen
Schutz der Identität (Identity Protection) Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Ausführen aller Identity Protection-Vorgänge außer des Zurücksetzens von Kennwörtern
Privileged Identity Management Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Kann keine Microsoft Entra-Rollenzuweisungen oder -Einstellungen verwalten
Grundlegendes zum Microsoft Purview-Complianceportal Verwalten von Sicherheitsrichtlinien
Anzeigen, Untersuchen und Reagieren auf Sicherheitsbedrohungen
Berichte anzeigen
Azure Advanced Threat Protection Überwachen und Reagieren auf verdächtige Sicherheitsaktivitäten
Microsoft Defender für den Endpunkt Zuweisen von Rollen
Verwalten von Computergruppen
Konfigurieren der Endpunkt-Bedrohungserkennung und der automatisierten Korrektur
Anzeigen, Untersuchen und Reagieren auf Warnungen
Anzeigen des Computer-/Gerätebestands
Intune Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen
Kann keine Änderungen an Intune vornehmen
Microsoft Defender für Cloud-Apps Hinzufügen von Administratoren, Richtlinien und Einstellungen, Hochladen von Protokollen und Ausführen von Governanceaktionen
Microsoft 365-Dienststatus Anzeigen des Status von Microsoft 365-Diensten
Smart Lockout Hiermit werden der Schwellenwert und die Dauer für Sperren definiert, wenn fehlerhafte Anmeldeereignisse auftreten.
Kennwortschutz Konfigurieren Sie die benutzerdefinierte Liste der gesperrten Kennwörter oder lokalen Kennwortschutz.
Mandantenübergreifende Synchronisierung Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen für Benutzer*innen in einem anderen Mandanten. Sicherheitsadministrator*innen können Benutzer*innen nicht direkt erstellen und löschen, aber synchronisierte Benutzer*innen aus einem anderen Mandanten indirekt erstellen und löschen, wenn beide Mandanten für die mandantenübergreifende Synchronisierung konfiguriert sind. Dabei handelt es sich um eine privilegierte Berechtigung.
Aktionen BESCHREIBUNG
microsoft.directory/applications/policies/update Aktualisieren von Anwendungsrichtlinien
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/crossTenantAccessPolicy/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/partners/create Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualisieren mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähige Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Zurücksetzen mandantenübergreifender Synchronisierungsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualisieren mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Zurücksetzen mandantenübergreifender Zugriffsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen
microsoft.directory/deviceLocalCredentials/standard/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts.
microsoft.directory/domains/federation/update Aktualisieren der Verbundeigenschaft von Domänen
Symbol für privilegierte Bezeichnung
microsoft.directory/domains/federationConfiguration/standard/read Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/basic/update Aktualisieren der grundlegenden Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/create Erstellen einer Verbundkonfiguration für Domänen
microsoft.directory/domains/federationConfiguration/delete Löschen einer Verbundkonfiguration für Domänen
microsoft.directory/entitlementManagement/allProperties/read Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/identityProtection/allProperties/read Lesen aller Ressourcen in Microsoft Entra ID Protection.
microsoft.directory/identityProtection/allProperties/update Aktualisieren aller Ressourcen in Microsoft Entra ID Protection.
Symbol für privilegierte Bezeichnung
microsoft.directory/multiTenantOrganization/basic/update Aktualisieren grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/create Erstellen einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Beitreten zu einer Organisation mit mehreren Mandanten
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/standard/read Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualisieren der grundlegenden Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/create Erstellen eines Mandanten in einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/delete Löschen eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/standard/read Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/namedLocations/create Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/delete Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/namedLocations/basic/update Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren
microsoft.directory/policies/create Erstellen von Richtlinien in Microsoft Entra ID.
microsoft.directory/policies/delete Löschen von Richtlinien in Microsoft Entra ID.
microsoft.directory/policies/basic/update Aktualisieren grundlegender Eigenschaften für Richtlinien
Symbol für privilegierte Bezeichnung
microsoft.directory/policies/owners/update Aktualisieren der Besitzer von Richtlinien
microsoft.directory/policies/tenantDefault/update Aktualisieren von Standardorganisationsrichtlinien
microsoft.directory/conditionalAccessPolicies/create Erstellen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/delete Löschen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/standard/read Lesen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/owners/read Lesen der Besitzer von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/basic/update Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/owners/update Aktualisieren der Besitzer von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualisieren des Standardmandanten für Richtlinien für bedingten Zugriff
microsoft.directory/privilegedIdentityManagement/allProperties/read Lesen aller Ressourcen in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren
Symbol für privilegierte Bezeichnung
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Richtlinien für Dienstprinzipale
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.networkAccess/allEntities/allProperties/allTasks Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs
microsoft.office365.protectionCenter/allEntities/standard/read Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center
microsoft.office365.protectionCenter/allEntities/basic/update Aktualisieren der grundlegenden Eigenschaften aller Ressourcen im Security & Compliance Center
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Sicherheitsoperator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Warnungen verwalten und besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features. Dies schließt sämtliche Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection, im Privileged Identity Management und im Microsoft Purview-Complianceportal ein. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Geben Sie in Möglich
Microsoft 365 Defender-Portal Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Anzeigen und Untersuchen von sowie Reagieren auf Warnungen zu Sicherheitsbedrohungen
Verwalten von Sicherheitseinstellungen in Microsoft 365 Defender-Portal
Schutz der Identität (Identity Protection) Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Ausführen aller Identity Protection-Vorgänge, mit Ausnahme des Konfigurierens oder Änderns risikobasierter Richtlinien, des Zurücksetzens von Kennwörtern und des Konfigurierens von Warnungs-E-Mails
Privileged Identity Management Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Grundlegendes zum Microsoft Purview-Complianceportal Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen
Microsoft Defender für den Endpunkt Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen
Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird.
Intune Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Microsoft Defender für Cloud-Apps Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“
Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen
Microsoft 365-Dienststatus Anzeigen des Status von Microsoft 365-Diensten
Aktionen BESCHREIBUNG
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/cloudAppSecurity/allProperties/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften in Microsoft Entra ID Protection.
Symbol für privilegierte Bezeichnung
microsoft.directory/privilegedIdentityManagement/allProperties/read Lesen aller Ressourcen in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.advancedThreatProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.intune/allEntities/read Lesen aller Ressourcen in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center.
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt

Sicherheitsleseberechtigter

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich alle Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection und im Privileged Identity Management. Darüber hinaus können sie Anmeldeberichte und Überwachungsprotokolle in Microsoft Entra und im Microsoft Purview-Complianceportal lesen. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Geben Sie in Möglich
Microsoft 365 Defender-Portal Anzeigen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten
Anzeigen von Sicherheitsbedrohungen und Warnungen
Berichte anzeigen
Schutz der Identität (Identity Protection) Anzeigen aller Identity Protection-Berichte und der Übersicht
Privileged Identity Management Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen im Privileged Identity Management von Microsoft Entra: Richtlinien und Berichte für Microsoft Entra-Rollenzuweisungen und Sicherheitsüberprüfungen.
Kann sich nicht für das Privileged Identity Management von Microsoft Entra registrieren oder Änderungen daran vornehmen. Im Privileged Identity Management-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z. B. „Globaler Administrator“ oder „Administrator für privilegierte Rollen“) aktivieren, wenn der Benutzer dazu berechtigt ist.
Grundlegendes zum Microsoft Purview-Complianceportal Anzeigen von Sicherheitsrichtlinien
Anzeigen und Untersuchen von Sicherheitsbedrohungen
Berichte anzeigen
Microsoft Defender für den Endpunkt Anzeigen und Untersuchen von Warnungen
Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird.
Intune Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen
Microsoft Defender für Cloud-Apps Besitzt Leserechte.
Microsoft 365-Dienststatus Anzeigen des Status von Microsoft 365-Diensten
Aktionen BESCHREIBUNG
microsoft.directory/accessReviews/definitions/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Microsoft Entra ID.
microsoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
Symbol für privilegierte Bezeichnung
microsoft.directory/deviceLocalCredentials/standard/read Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts.
microsoft.directory/domains/federationConfiguration/standard/read Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen
microsoft.directory/entitlementManagement/allProperties/read Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/identityProtection/allProperties/read Lesen aller Ressourcen in Microsoft Entra ID Protection.
microsoft.directory/namedLocations/standard/read Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren.
microsoft.directory/policies/standard/read Lesen grundlegender Eigenschaften für Richtlinien
microsoft.directory/policies/owners/read Lesen der Besitzer von Richtlinien
microsoft.directory/policies/policyAppliedTo/read Lesen der policies.policyAppliedTo-Eigenschaft
microsoft.directory/conditionalAccessPolicies/standard/read Lesen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/owners/read Lesen der Besitzer von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/standard/read Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/multiTenantOrganization/tenants/standard/read Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt
microsoft.directory/privilegedIdentityManagement/allProperties/read Lesen aller Ressourcen in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lesen aller Eigenschaften von Bereitstellungsprotokollen
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.networkAccess/allEntities/allProperties/read Lesen aller Aspekte des Microsoft Entra-Netzwerkzugriffs
microsoft.office365.protectionCenter/allEntities/standard/read Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Lesen aller Eigenschaften von Angriffsnutzdaten im Angriffssimulator
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Lesen aller Eigenschaften von Angriffssimulationsvorlagen im Angriffssimulator
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Dienstunterstützungsadministrator

Benutzer mit dieser Rolle können bei Microsoft Supportanfragen für Azure- und Microsoft 365-Dienste erstellen und verwalten sowie das Dienstdashboard und Nachrichtencenter im Azure-Portal und im Microsoft 365 Admin Center anzeigen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.

Hinweis

Bisher wurde diese Rolle im Azure-Portal und im Microsoft 365 Admin Center als „Dienstadministrator“ bezeichnet. Sie wurde in „Dienstunterstützungsadministrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

SharePoint-Administrator

Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft SharePoint Online, wenn der Dienst verfügbar ist, und sie können alle Microsoft 365-Gruppen erstellen und verwalten, Supporttickets verwalten sowie die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.

Hinweis

In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „SharePoint-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „SharePoint-Administrator“.

Hinweis

Diese Rolle gewährt auch der Microsoft Graph-API bereichsbezogene Berechtigungen für Microsoft Intune, um die Verwaltung und Konfiguration von Richtlinien für SharePoint- und OneDrive-Ressourcen zu ermöglichen.

Aktionen BESCHREIBUNG
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/create Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/delete Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/restore Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/basic/update Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/members/update Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/owners/update Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.migrations/allEntities/allProperties/allTasks Verwalten aller Aspekte von Microsoft 365-Migrationen
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.sharePoint/allEntities/allTasks Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Skype for Business-Administrator

Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist, sowie die Berechtigung zur Verwaltung von Skype-spezifischen Benutzerattributen in Microsoft Entra ID. Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen, sowie auf die Admin Center von Teams und Skype for Business zuzugreifen. Das Konto muss auch für Teams lizenziert sein, andernfalls kann es keine PowerShell-Cmdlets von Teams ausführen. Weitere Informationen finden Sie unter Skype for Business Online-Administrator. Informationen zur Teams-Lizenzierung finden Sie unter Skype for Business-Add-On-Lizenzierung.

Hinweis

In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Lync-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Skype for Business-Administrator“.

Aktionen BESCHREIBUNG
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Teams-Administrator

Benutzer mit dieser Rolle können alle Aspekte der Microsoft Teams-Workload über das Admin Center von Microsoft Teams und Skype for Business und die entsprechenden PowerShell-Module verwalten. Dazu zählen unter anderem alle Verwaltungstools im Zusammenhang mit Telefonie, Messaging, Besprechungen und den Teams selbst. Außerdem bietet diese Rolle die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/create Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/delete Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/restore Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/basic/update Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/members/update Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/owners/update Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.azure.print/allEntities/allProperties/allTasks Verwalten aller Ressourcen in Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/partners/create Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner
microsoft.directory/pendingExternalUserProfiles/create Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/pendingExternalUserProfiles/delete Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/standard/read Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/basic/update Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/externalUserProfiles/delete Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams
microsoft.directory/permissionGrantPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung

Teams-Kommunikationsadministrator

Benutzer mit dieser Rolle können Aspekte der Microsoft Teams-Workload im Zusammenhang mit Sprache und Telefonie verwalten. Dazu gehören die Verwaltungstools für die Telefonnummernzuweisung, Sprach- und Besprechungsrichtlinien und der uneingeschränkte Zugriff auf das Toolset zur Anrufanalyse.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.teams/callQuality/allProperties/read Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard
microsoft.teams/meetings/allProperties/allTasks Verwalten von Besprechungen (einschließlich Besprechungsrichtlinien, Konfigurationen und Konferenzbrücken)
microsoft.teams/voice/allProperties/allTasks Verwalten von Sprachanrufen (einschließlich Anrufrichtlinien sowie Verwalten und Zuweisen von Telefonnummern)

Teams-Kommunikationssupporttechniker

Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können vollständige Anrufdatensatzinformationen für alle Teilnehmer anzeigen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.teams/callQuality/allProperties/read Lesen sämtlicher Daten im Anrufqualitäts-Dashboard

Teams-Kommunikationssupportspezialist

Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können Benutzerdetails im Anruf nur für den bestimmten Benutzer anzeigen, nach dem sie gesucht haben. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.

Aktionen BESCHREIBUNG
microsoft.directory/authorizationPolicy/standard/read Lesen der Standardeigenschaften der Autorisierungsrichtlinie
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.skypeForBusiness/allEntities/allTasks Verwalten sämtlicher Aspekte von Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.teams/callQuality/standard/read Lesen grundlegender Daten im Anrufqualitäts-Dashboard

Teams-Geräteadministrator

Benutzer mit dieser Rolle können im Teams Admin Center für Teams zertifizierte Geräte verwalten. Diese Rolle bietet eine Übersicht über alle Geräte, mit der Möglichkeit, Geräte zu suchen und zu filtern. Der Benutzer kann Details zu jedem Gerät überprüfen, darunter das angemeldete Konto sowie Marke und Modell des Geräts. Der Benutzer kann die Einstellungen auf dem Gerät ändern und die Softwareversionen aktualisieren. Diese Rolle gewährt keine Berechtigungen zum Überprüfen der Teams-Aktivität und der Anrufqualität des Geräts.

Aktionen BESCHREIBUNG
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.teams/devices/standard/read Verwalten sämtlicher Aspekte von in Teams zertifizierten Geräten (einschließlich Konfigurationsrichtlinien)

Mandantenersteller

Weisen Sie die Rolle „Mandantenersteller“ Benutzern zu, die folgende Aufgabe ausführen müssen:

  • Erstellen sowohl von Microsoft Entra- als auch von Azure Active Directory B2C-Mandanten, auch wenn die Umschaltfläche für die Mandantenerstellung in den Benutzereinstellungen deaktiviert ist

Hinweis

Den Mandantenerstellern wird in den von ihnen erstellten neuen Mandanten die Rolle „Globaler Administrator“ zugewiesen.

Aktionen BESCHREIBUNG
microsoft.directory/tenantManagement/tenants/create Erstellen neuer Mandanten in Microsoft Entra ID.

Leseberechtigter für Verwendungszusammenfassungsberichte

Weisen Sie Benutzer*innen, die die folgenden Aufgaben im Microsoft 365 Admin Center ausführen müssen, die Rolle „Leseberechtigter für Berichte mit Nutzungszusammenfassung“ zu:

  • Anzeigen der Nutzungsberichte und der Einführungsbewertung
  • Lesen von Organisationserkenntnissen, aber nicht von personenbezogenen Informationen (Personally Identifiable Information, PII) von Benutzer*innen

Mit dieser Rolle können Benutzer*innen nur Daten auf Organisationsebene mit den folgenden Ausnahmen anzeigen:

  • Mitgliedsbenutzer*innen können Benutzerverwaltungsdaten und -einstellungen anzeigen.
  • Gastbenutzer*innen, denen diese Rolle zugewiesen ist, können keine Benutzerverwaltungsdaten und -einstellungen anzeigen.
Aktionen BESCHREIBUNG
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.usageReports/allEntities/standard/read Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Benutzeradministrator

Symbol für privilegierte Bezeichnung

Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Benutzeradministrator“ zu:

Berechtigung Weitere Informationen
Erstellen von Benutzern
Aktualisieren der meisten Benutzereigenschaften für alle Benutzer, einschließlich aller Administratoren Wer kann vertrauliche Aktionen ausführen?
Aktualisieren vertraulicher Eigenschaften (einschließlich Benutzerprinzipalname) für einige Benutzer Wer kann vertrauliche Aktionen ausführen?
Deaktivieren oder Aktivieren einiger Benutzer Wer kann vertrauliche Aktionen ausführen?
Löschen oder Wiederherstellen einiger Benutzer Wer kann vertrauliche Aktionen ausführen?
Erstellen und Verwalten von Benutzeransichten
Erstellen und Verwalten aller Gruppen
Zuweisen und Lesen von Lizenzen für alle Benutzer, einschließlich aller Administratoren
Zurücksetzen von Kennwörtern Wer kann Kennwörter zurücksetzen?
Annullieren Sie Aktualisierungstoken. Wer kann Kennwörter zurücksetzen?
Aktualisieren von Geräteschlüsseln (FIDO)
Aktualisieren von Richtlinien für den Kennwortablauf
Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
Überwachen der Dienstintegrität

Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:

Wichtig

Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:

  • Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Benutzeradministratoren nicht gewährt werden. So kann ein Benutzeradministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
  • Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
  • Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
  • Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
  • Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Aktionen BESCHREIBUNG
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Microsoft Entra ID.
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen für Microsoft Entra-Rollenzuweisungen.
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/accessReviews/definitions.groups/create Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen
microsoft.directory/accessReviews/definitions.groups/delete Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können
microsoft.directory/contacts/create Erstellen von Kontakten
microsoft.directory/contacts/delete Löschen von Kontakten
microsoft.directory/contacts/basic/update Aktualisieren grundlegender Eigenschaften für Kontakte
microsoft.directory/deletedItems.groups/restore Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen
microsoft.directory/deletedItems.users/restore Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand
microsoft.directory/entitlementManagement/allProperties/allTasks Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung.
microsoft.directory/groups/assignLicense Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/create Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/delete Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung
microsoft.directory/groups/restore Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container
microsoft.directory/groups/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/classification/update Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/dynamicMembershipRule/update Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/groupType/update Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/onPremWriteBack/update Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen.
microsoft.directory/groups/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups/settings/update Aktualisieren von Gruppeneinstellungen
microsoft.directory/groups/visibility/update Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften
Symbol für privilegierte Bezeichnung
microsoft.directory/policies/standard/read Lesen grundlegender Eigenschaften für Richtlinien
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren von Rollenzuweisungen für Dienstprinzipale
microsoft.directory/users/assignLicense Verwalten von Benutzerlizenzen
microsoft.directory/users/create Hinzufügen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/convertExternalToInternalMemberUser Konvertieren eines externen Benutzers in einen internen Benutzer
microsoft.directory/users/delete Löschen von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/disable Deaktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/enable Aktivieren von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.directory/users/inviteGuest Einladen von Gastbenutzern
microsoft.directory/users/invalidateAllRefreshTokens Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens
Symbol für privilegierte Bezeichnung
microsoft.directory/users/reprocessLicenseAssignment Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer
microsoft.directory/users/restore Wiederherstellen gelöschter Benutzer
microsoft.directory/users/basic/update Aktualisieren grundlegender Eigenschaften für Benutzer
microsoft.directory/users/manager/update Aktualisieren der Manager für Benutzer
microsoft.directory/users/password/update Zurücksetzen der Kennwörter für alle Benutzer
Symbol für privilegierte Bezeichnung
microsoft.directory/users/photo/update Aktualisieren des Fotos von Benutzern
microsoft.directory/users/sponsors/update Aktualisieren von Sponsoren von Benutzern
microsoft.directory/users/usageLocation/update Aktualisieren des Verwendungsstandorts von Benutzern
microsoft.directory/users/userPrincipalName/update Aktualisieren des Benutzerprinzipalnamens von Benutzern
Symbol für privilegierte Bezeichnung
microsoft.azure.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Administrator für virtuelle Besuche

Benutzer mit dieser Rolle können die folgenden Aufgaben ausführen:

  • Verwalten und Konfigurieren aller Aspekte virtueller Besuche in Bookings im Microsoft 365 Admin Center und im Teams EHR-Connector
  • Anzeigen von Nutzungsberichten für virtuelle Besuche in Teams Admin Center, Microsoft 365 Admin Center, Fabric und Power BI
  • Anzeigen von Features und Einstellungen im Microsoft 365 Admin Center, aber keine Bearbeitung von Einstellungen

Virtuelle Besuche sind eine einfache Möglichkeit, Online- und Videotermine für Mitarbeiter und Teilnehmende zu planen und zu verwalten. Beispielsweise kann die Verwendungsberichterstattung zeigen, wie durch das Senden von SMS-Textnachrichten vor Terminen die Anzahl der Personen, die Termine nicht wahrnehmen, verringert werden kann.

Aktionen BESCHREIBUNG
microsoft.virtualVisits/allEntities/allProperties/allTasks Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Viva Goals-Administrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Goals-Administrator“ zu:

  • Alle Aspekte der Microsoft Viva Goals-Anwendung verwalten und konfigurieren
  • Microsoft Viva Goals-Administratoreinstellungen konfigurieren
  • Lesen von Microsoft Entra-Mandanteninformationen.
  • Microsoft 365-Dienststatus überwachen
  • Erstellen und Verwalten von Microsoft 365-Serviceanforderungen

Weitere Informationen finden Sie unter Rollen und Berechtigungen in Viva Goals und Einführung in Microsoft Viva Goals.

Aktionen BESCHREIBUNG
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.viva.goals/allEntities/allProperties/allTasks Alle Aspekte von Microsoft Viva Goals verwalten

Viva Pulse-Administrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Pulse-Administrator“ zu:

  • Lesen und Konfigurieren aller Einstellungen von Viva Pulse
  • Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
  • Lesen und Konfigurieren von Azure Service Health
  • Erstellen und Verwalten von Azure-Supporttickets
  • Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
  • Lesen von Nutzungsberichten im Microsoft 365 Admin Center

Weitere Informationen finden Sie unter Zuweisen eines Viva Pulse-Administrators im Microsoft 365 Admin Center.

Aktionen BESCHREIBUNG
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.viva.pulse/allEntities/allProperties/allTasks Alle Aspekte von Microsoft Viva Pulse verwalten

Windows 365-Administrator

Benutzer mit dieser Rolle verfügen über globale Berechtigungen für Windows 365-Ressourcen, wenn der Dienst vorhanden ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten.

Diese Rolle kann Sicherheitsgruppen erstellen und verwalten, verfügt jedoch nicht über Administratorrechte für Microsoft 365-Gruppen. Das bedeutet, dass Administratoren Besitzer oder Mitgliedschaften von Microsoft 365-Gruppen in der Organisation nicht aktualisieren können. Sie können jedoch die Microsoft 365-Gruppe verwalten, die sie erstellen. Dies ist ein Teil ihrer Endbenutzerberechtigungen. Daher werden alle Microsoft 365-Gruppen (keine Sicherheitsgruppe), die sie erstellen, ihrem Kontingent von 250 angerechnet.

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Windows 365-Administrator zu:

  • Verwalten von Windows 365 Cloud-PCs in Microsoft Intune
  • Registrieren und Verwalten von Geräten in Microsoft Entra ID, einschließlich Zuweisen von Benutzern und Richtlinien.
  • Erstellen und Verwalten von Sicherheitsgruppen, aber nicht von Rollen zuweisbaren Gruppen
  • Anzeigen grundlegender Eigenschaften im Microsoft 365 Admin Center
  • Lesen von Nutzungsberichten im Microsoft 365 Admin Center
  • Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
Aktionen Beschreibung
microsoft.directory/deletedItems.devices/delete Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können
microsoft.directory/deletedItems.devices/restore Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand
microsoft.directory/devices/create Erstellen von Geräten (Registrieren bei Microsoft Entra ID).
microsoft.directory/devices/delete Löschen von Geräten aus Microsoft Entra ID
microsoft.directory/devices/disable Deaktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/enable Aktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/basic/update Aktualisieren grundlegender Eigenschaften für Geräte
microsoft.directory/devices/extensionAttributeSet1/update Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten
microsoft.directory/devices/extensionAttributeSet2/update Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten
microsoft.directory/devices/extensionAttributeSet3/update Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten
microsoft.directory/devices/registeredOwners/update Lesen der registrierten Besitzer von Geräten
microsoft.directory/devices/registeredUsers/update Aktualisieren der registrierten Besitzer von Geräten
microsoft.directory/groups.security/create Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/delete Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/basic/update Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/classification/update Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/members/update Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/owners/update Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.security/visibility/update Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/deviceManagementPolicies/standard/read Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung
microsoft.azure.supportTickets/allEntities/allTasks Erstellen und Verwalten von Azure-Supporttickets
microsoft.cloudPC/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center

Windows Update-Bereitstellungsadministrator

Benutzer mit dieser Rolle können alle Aspekte von Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. Mit dem Bereitstellungsdienst können Benutzer festlegen, wann und wie Updates bereitgestellt werden, und angeben, welche Updates für Gruppen von Geräten in ihrem Mandanten angeboten werden. Darüber hinaus können Benutzer den Updatefortschritt überwachen.

Aktionen BESCHREIBUNG
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts

Yammer-Administrator

Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Yammer-Administrator zu:

  • Verwalten sämtlicher Aspekte von Yammer
  • Erstellen, Verwalten und Wiederherstellen von Microsoft 365-Gruppen, aber nicht von Gruppen, denen Rollen zugewiesen werden können
  • Anzeigen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen einschließlich Gruppen, denen Rollen zugewiesen werden können
  • Lesen von Nutzungsberichten im Microsoft 365 Admin Center
  • Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
  • Anzeigen von Ankündigungen im Nachrichtencenter, aber nicht von sicherheitsrelevanten Ankündigungen
  • Anzeigen der Dienstintegrität

Weitere Informationen

Aktionen BESCHREIBUNG
microsoft.directory/groups/hiddenMembers/read Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/create Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/delete Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/restore Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/basic/update Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/members/update Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.directory/groups.unified/owners/update Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)
microsoft.office365.messageCenter/messages/read Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
microsoft.office365.network/performance/allProperties/read Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center
microsoft.office365.serviceHealth/allEntities/allTasks Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center
microsoft.office365.supportTickets/allEntities/allTasks Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
microsoft.office365.usageReports/allEntities/allProperties/read Lesen von Office 365-Nutzungsberichten
microsoft.office365.webPortal/allEntities/standard/read Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
microsoft.office365.yammer/allEntities/allProperties/allTasks Verwalten sämtlicher Aspekte von Yammer

Veraltete Rollen

Die folgenden Rollen sollten nicht verwendet werden. Sie wurden als veraltet markiert und werden zukünftig aus Microsoft Entra ID entfernt.

  • Ad-hoc-Lizenzadministrator
  • Geräteeinbindung
  • Geräte-Manager
  • Gerätebenutzer
  • Benutzererstellung mit E-Mail-Überprüfung
  • Postfachadministrator
  • Geräteeinbindung am Arbeitsplatz

Im Portal nicht angezeigte Rollen

Nicht jede Rolle, die von PowerShell oder der MS Graph-API zurückgegeben wird, wird Azure-Portal angezeigt. Diese Unterschiede sind in der folgenden Tabelle aufgelistet.

API-Name Name im Azure-Portal Notizen
Geräteeinbindung Als veraltet markiert Dokumentation zu veralteten Rollen
Geräte-Manager Als veraltet markiert Dokumentation zu veralteten Rollen
Gerätebenutzer Als veraltet markiert Dokumentation zu veralteten Rollen
Konten zur Verzeichnissynchronisierung Nicht angezeigt, da keine Verwendung erfolgen soll Dokumentation zu Konten für die Verzeichnissynchronisierung
Gastbenutzer Nicht angezeigt, weil keine Verwendung erfolgen kann Nicht verfügbar
Partnersupport der Ebene 1 Nicht angezeigt, da keine Verwendung erfolgen soll Dokumentation zum Partnersupport der Ebene 1
Partnersupport der Ebene 2 Nicht angezeigt, da keine Verwendung erfolgen soll Dokumentation zum Partnersupport der Ebene 2
Eingeschränkter Gastbenutzer Nicht angezeigt, weil keine Verwendung erfolgen kann Nicht verfügbar
Benutzer Nicht angezeigt, weil keine Verwendung erfolgen kann Nicht verfügbar
Geräteeinbindung am Arbeitsplatz Als veraltet markiert Dokumentation zu veralteten Rollen

Nächste Schritte