Zuweisen von Microsoft Entra-Rollen mit Verwaltungseinheitsbereich
Um eine präzisere administrative Steuerung zu ermöglichen, können Sie Benutzer*innen in Microsoft Entra ID eine Microsoft Entra-Rolle mit einem auf einzelne oder mehrere Verwaltungseinheiten beschränkten Bereich zuweisen. Wenn eine Microsoft Entra-Rolle im Bereich einer Verwaltungseinheit zugewiesen wird, gelten die Rollenberechtigungen nur für die Verwaltung von Mitgliedern der Verwaltungseinheit selbst und nicht für mandantenweite Einstellungen oder Konfigurationen.
Beispielsweise können Administratoren und Administratorinnen mit der Rolle „Gruppenadministrator“ im Bereich einer Verwaltungseinheit Gruppen verwalten, die Mitglieder der Verwaltungseinheit sind. Sie können jedoch keine anderen Gruppen im Mandanten verwalten. Sie können ebenfalls keine Einstellungen auf Mandantenebene verwalten, die sich auf Gruppen beziehen, wie z. B. Ablauf- oder Gruppenbenennungsrichtlinien.
In diesem Artikel wird beschrieben, wie Sie Microsoft Entra-Rollen im Gültigkeitsbereich einer Verwaltungseinheit zuweisen.
Voraussetzungen
- Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
- Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
- Administrator für privilegierte Rollen
- Microsoft Graph PowerShell-Modul bei verwendung von PowerShell
- Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.
Rollen, die mit dem Bereich der Verwaltungseinheit zugewiesen werden können
Die folgenden Microsoft Entra-Rollen können mit einem Bereich der Verwaltungseinheit zugewiesen werden. Darüber hinaus können benutzerdefinierte Rollen mit einem Bereich der Verwaltungseinheit zugewiesen werden, solange die Berechtigungen der benutzerdefinierten Rolle mindestens eine Berechtigung umfassen, die für Benutzer, Gruppen oder Geräte relevant ist.
| Rolle | Beschreibung |
|---|---|
| Authentifizierungsadministrator | Hat nur in der zugewiesenen Verwaltungseinheit Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zur Authentifizierungsmethode für alle Benutzer ohne Administratorrechte. |
| Cloudgeräteadministrator | Eingeschränkter Zugriff zum Verwalten von Geräten in Microsoft Entra ID. |
| Gruppenadministrator | Kann alle Aspekte der Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten. |
| Helpdeskadministrator | Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen. |
| Lizenzadministrator | Kann nur in der Verwaltungseinheit Lizenzzuweisungen vornehmen, entfernen und aktualisieren. |
| Kennwortadministrator | Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen. |
| Druckeradministrator | Kann Drucker und Druckerconnectors verwalten. Weitere Informationen finden Sie unter Delegieren der Verwaltung von Druckern in Universal Print. |
| Privilegierter Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte). |
| SharePoint-Administrator | Kann Microsoft 365-Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten. Für SharePoint-Websites, die einer Microsoft 365-Gruppe in einer Verwaltungseinheit zugeordnet sind, können Sie die Websiteeigenschaften (Websitename, URL und externe Freigaberichtlinie) auch über das Microsoft 365 Admin Center aktualisieren. Kann weder das SharePoint Admin Center noch SharePoint-APIs zur Verwaltung von Websites verwenden. |
| Teams-Administrator | Kann Microsoft 365-Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten. Kann Teammitglieder im Microsoft 365 Admin Center nur für Teams verwalten, die Gruppen in der zugewiesenen Verwaltungseinheit zugeordnet sind. Kann nicht das Teams Admin Center verwenden. |
| Teams-Geräteadministrator | Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten. |
| Benutzeradministrator | Kann nur in der zugewiesenen Verwaltungseinheit alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für Administratoren mit eingeschränkten Berechtigungen. Benutzerprofilfotos können derzeit nicht verwaltet werden. |
| <Benutzerdefinierte Rolle> | Kann Aktionen ausführen, die gemäß der Definition der benutzerdefinierten Rolle für Benutzer, Gruppen oder Geräte gelten. |
Bestimmte Rollenberechtigungen gelten nur für Benutzer ohne Administratorrechte, wenn sie dem Bereich einer Verwaltungseinheit zugewiesen sind. Anders ausgedrückt: Helpdeskadministratoren im Bereich der Verwaltungseinheit können Kennwörter für Benutzer und Benutzerinnen in der Verwaltungseinheit nur zurücksetzen, wenn diese nicht über Administratorrollen verfügen. Die folgende Liste der Berechtigungen ist eingeschränkt, wenn das Ziel einer Aktion ein anderer Administrator ist:
- Lesen und Ändern von Benutzerauthentifizierungsmethoden oder Zurücksetzen von Benutzerpasswörtern
- Ändern vertraulicher Benutzereigenschaften wie Telefonnummern, alternative E-Mail-Adressen oder OAuth-Schlüssel (Open Authorization)
- Löschen oder Wiederherstellen von Benutzerkonten
Sicherheitsprinzipale, die im Bereich der Verwaltungseinheit zugewiesen werden können
Die folgenden Sicherheitsprinzipale können einer Rolle im Bereich von Verwaltungseinheiten zugewiesen werden:
- Benutzer
- Microsoft Entra-Gruppen, denen Rollen zugewiesen werden können
- Dienstprinzipale
Dienstprinzipale und Gastbenutzer
Dienstprinzipale und Gastbenutzer/-benutzerinnen können eine Rollenzuweisung, die auf eine Verwaltungseinheit beschränkt ist, nur dann verwenden, wenn ihnen auch die entsprechenden Berechtigungen zum Lesen der Objekte zugewiesen wurden. Dies liegt daran, dass Dienstprinzipale und Gastbenutzer/-benutzerinnen standardmäßig keine Leseberechtigung für Verzeichnisse erhalten, die aber für die Durchführung von administrativen Aktionen erforderlich ist. Damit ein Dienstprinzipal oder ein Gastbenutzer eine Rollenzuweisung mit dem Geltungsbereich einer Verwaltungseinheit verwenden kann, müssen Sie die Rolle Verzeichnisleser (oder eine andere Rolle mit Leserechten) mit dem Geltungsbereich eines Mandanten zuweisen.
Es ist derzeit nicht möglich, einer Verwaltungseinheit Leseberechtigungen für Verzeichnisse zu erteilen. Weitere Informationen zu Standardberechtigungen für Benutzer finden Sie unter Standardbenutzerberechtigungen.
Zuweisen einer Rolle mit einem Bereich der Verwaltungseinheit
Sie können eine Microsoft Entra-Rolle mit einem Bereich der Verwaltungseinheit zuweisen, indem Sie das Microsoft Entra Admin Center, PowerShell oder Microsoft Graph verwenden.
Microsoft Entra Admin Center
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.
Wählen Sie die Verwaltungseinheit aus, der Sie einen Benutzerrollenbereich zuweisen möchten.
Wählen Sie im linken Bereich die Option Rollen und Administratoren aus, um alle verfügbaren Rollen aufzulisten.
Wählen Sie die zuzuweisende Rolle und anschließend Zuweisungen hinzufügen aus.
Wählen Sie im Bereich Zuweisungen hinzufügen mindestens einen Benutzer aus, dem die Rolle zugewiesen werden soll.
Hinweis
Informationen zum Zuweisen einer Rolle für eine Verwaltungseinheit unter Verwendung von Microsoft Entra Privileged Identity Management (PIM) finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.
PowerShell
Verwenden Sie den Befehl New-MgRoleManagementDirectoryRoleAssignment und den DirectoryScopeId-Parameter zum Zuweisen einer Rolle im Bereich einer Verwaltungseinheit.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph-API
Verwenden Sie die API Add a scopedRoleMember, um eine Rolle im Bereich einer Verwaltungseinheit zuzuweisen.
Anforderung
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Text
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Liste von Rollenzuweisungen mit Verwaltungseinheitenbereich
Sie können eine Liste von Microsoft Entra-Rollenzuweisungen mit einem Bereich der Verwaltungseinheit anzeigen, indem Sie das Microsoft Entra Admin Center, PowerShell oder Microsoft Graph verwenden.
Microsoft Entra Admin Center
Alle Rollenzuweisungen, die mit einem auf Verwaltungseinheiten bezogenen Bereich erstellt wurden, können im Abschnitt Verwaltungseinheiten des Microsoft Entra Admin Centers angezeigt werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.
Wählen Sie die Verwaltungseinheit für die Liste mit den Rollenzuweisungen aus, die Sie anzeigen möchten.
Wählen Sie Rollen und Administratoren aus, und öffnen Sie anschließend eine Rolle, um die Zuweisungen in der Verwaltungseinheit anzuzeigen.
PowerShell
Verwenden Sie den Befehl Get-MgDirectoryAdministrativeUnitScopedRoleMember zum Auflisten von Rollenzuweisungen im Bereich einer Verwaltungseinheit.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph-API
Verwenden Sie die API List scopedRoleMembers, um Rollenzuweisungen im Bereich einer Verwaltungseinheit aufzulisten.
Anforderung
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Text
{}