Rollen mit den geringsten Berechtigungen nach Aufgabe in Azure Active Directory

In diesem Artikel finden Sie die erforderlichen Informationen, um Administratorrechte eines Benutzers einzuschränken, indem Sie die am wenigsten privilegierten Rollen in Azure Active Directory (Azure AD) zuweisen. Sie werden Aufgaben finden, die nach Funktionsbereichen und der Rolle mit den geringsten Berechtigungen geordnet sind, die zum Ausführen jeder Aufgabe erforderlich sind, zusammen mit zusätzlichen nicht-globalen Administratorrollen, die die Aufgabe ausführen können.

Sie können Berechtigungen weiter einschränken, indem Sie Rollen in kleineren Bereichen zuweisen oder eigene benutzerdefinierte Rollen erstellen. Weitere Informationen finden Sie unter Zuweisen von Azure AD-Rollen mit verschiedenen Gültigkeitsbereichen.

Anwendungsproxy

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren einer Anwendungsproxy-App Anwendungsadministrator
Konfigurieren von Connectorgruppeneigenschaften Anwendungsadministrator
Erstellen einer Anwendungsregistrierung, wenn die Funktion für alle Benutzer deaktiviert ist Anwendungsentwickler Cloudanwendungsadministrator
Anwendungsadministrator
Erstellen einer Connectorgruppe Anwendungsadministrator
Löschen einer Connectorgruppe Anwendungsadministrator
Anwendungsproxy deaktivieren Anwendungsadministrator
Herunterladen eines Connectordiensts Anwendungsadministrator
Lesen aller Konfigurationen Anwendungsadministrator

Externe Identitäten/B2C

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen von Azure AD B2C-Verzeichnissen Alle Nicht-Gastbenutzer
Erstellen von B2C-Anwendungen Globaler Administrator
Erstellen von Unternehmensanwendungen Cloudanwendungsadministrator Anwendungsadministrator
Erstellen, Lesen, Aktualisieren und Löschen von B2C-Richtlinien B2C-IEF-Richtlinienadministrator
Erstellen, Lesen, Aktualisieren und Löschen von Identitätsanbietern Externer Identitätsanbieteradministrator
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Kennwortzurücksetzung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Profilbearbeitung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Anmeldung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Registrierung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerattributen Administrator für Benutzerflowattribute mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzern Benutzeradministrator
Konfigurieren der Einstellungen für externe B2B-Zusammenarbeit Globaler Administrator
Lesen aller Konfigurationen Globaler Leser
Lesen von B2C-Überwachungsprotokollen Globaler Leser

Hinweis

Azure AD B2C Global-Administratoren haben nicht die gleichen Berechtigungen wie Azure AD Global-Administratoren. Wenn Sie über globale Azure AD B2C-Administratorrechte verfügen, stellen Sie sicher, dass Sie sich in einem Azure AD B2C-Verzeichnis und nicht in einem Azure AD-Verzeichnis befinden.

Unternehmensbranding

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren des Unternehmensbrandings Globaler Administrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Unternehmenseigenschaften

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Unternehmenseigenschaften Globaler Administrator

Verbinden

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Globaler Administrator
Lesen aller Konfigurationen Globaler Leser Globaler Administrator
Nahtloses einmaliges Anmelden Globaler Administrator

Cloudbereitstellung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Hybrididentitätsadministrator
Lesen aller Konfigurationen Globaler Leser Hybrididentitätsadministrator
Nahtloses einmaliges Anmelden Hybrididentitätsadministrator

Connect Health

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen oder Löschen von Diensten Besitzer
Anwenden von Fehlerbehebungen zum Synchronisieren von Fehlern Mitwirkender Besitzer
Konfigurieren von Benachrichtigungen Mitwirkender Besitzer
Konfigurieren von Einstellungen Besitzer
Konfigurieren von Synchronisierungsbenachrichtigungen Mitwirkender Besitzer
Lesen von AD FS-Sicherheitsberichten Sicherheitsleseberechtigter Mitwirkender
Besitzer
Lesen aller Konfigurationen Leser Mitwirkender
Besitzer
Lesen von Synchronisierungsfehlern Leser Mitwirkender
Besitzer
Lesen von Synchronisierungsdiensten Leser Mitwirkender
Besitzer
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Besitzer
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Besitzer
Anzeigen von Metriken und Warnungen zum Synchronisierungsdienst Leser Mitwirkender
Besitzer

Benutzerdefinierte Domänennamen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Domänen Domänennamenadministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Domänendienste

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen einer Azure AD Domain Services-Instanz Anwendungsadministrator
Gruppenadministrator
Mitwirkender für Domänendienste
Ausführen aller Azure AD Domain Services-Aufgaben AAD-DC-Administratorengruppe
Lesen aller Konfigurationen Leser für Azure-Abonnements, die den AD DS-Dienst umfassen

Geräte

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Deaktivieren eines Geräts Cloudgeräteadministrator
Aktivieren eines Geräts Cloudgeräteadministrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Lesen von BitLocker-Schlüsseln Sicherheitsleseberechtigter Kennwortadministrator
Sicherheitsadministrator

Unternehmensanwendungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erteilen der Zustimmung zu delegierten Berechtigungen Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen, jedoch nicht für Microsoft Graph Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen für Microsoft Graph Administrator für privilegierte Rollen
Erteilen der Zustimmung für Anwendungen, die auf eigene Daten zugreifen Standardbenutzerrolle
Erstellen einer Unternehmensanwendung Cloudanwendungsadministrator Anwendungsadministrator
Verwalten eines Anwendungsproxys Anwendungsadministrator
Verwalten von Benutzereinstellungen Globaler Administrator
Überprüfung des Lesezugriffs einer Gruppe oder einer App Sicherheitsleseberechtigter Sicherheitsadministrator
Benutzeradministrator
Lesen aller Konfigurationen Standardbenutzerrolle
Aktualisieren von Enterprise-Anwendungszuweisungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Benutzeradministrator
Aktualisieren von Enterprise-Anwendungsbesitzern Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Enterprise-Anwendungseigenschaften Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren der Enterprise-Anwendungsbereitstellung Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren des Self-Service-Zugriffs auf Enterprise-Anwendungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Eigenschaften für das einmalige Anmelden Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator

Berechtigungsverwaltung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen von Ressourcen zu einem Katalog Identity Governance-Administrator Mit der Berechtigungsverwaltung können Sie diese Aufgabe an den Katalogbesitzer delegieren.
Hinzufügen von SharePoint Online-Websites zum Katalog SharePoint-Administrator

Gruppen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Benutzeradministrator
Erstellen einer Gruppe Gruppenadministrator Benutzeradministrator
Erstellen, Aktualisieren oder Löschen der Zugriffsüberprüfung einer Gruppe oder einer App Benutzeradministrator
Verwalten des Gruppenablaufs Benutzeradministrator
Verwalten von Gruppeneinstellungen Gruppenadministrator Benutzeradministrator
Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft) Verzeichnisleseberechtigte Standardbenutzerrolle
Lesen der ausgeblendeten Mitgliedschaft Gruppenmitglied Gruppenbesitzer
Kennwortadministrator
Exchange-Administrator
SharePoint-Administrator
Teams-Administrator
Benutzeradministrator
Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft Helpdeskadministrator Benutzeradministrator
Teams-Administrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Aktualisieren der Gruppenmitgliedschaft Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppenbesitzern Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppeneigenschaften Gruppenbesitzer Benutzeradministrator
Gruppe löschen Gruppenadministrator Benutzeradministrator

Schutz der Identität (Identity Protection)

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Warnungsbenachrichtigungen Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer MFA-Richtlinie Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Anmelderisiko Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Benutzerrisiko Sicherheitsadministrator
Konfigurieren von wöchentlichen Digests Sicherheitsadministrator
Alle Risikoerkennungen schließen Sicherheitsadministrator
Beheben oder Ausschließen von Sicherheitsrisiken Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen aller Risikoerkennungen Sicherheitsleseberechtigter
Lesen von Sicherheitsrisiken Sicherheitsleseberechtigter

Lizenzen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Testen oder Erwerben von Abonnements Rechnungsadministrator

Überwachung – Überwachungsprotokolle

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Überwachungsprotokollen Berichtleseberechtigter Sicherheitsleseberechtigter
Sicherheitsadministrator

Überwachung – Anmeldungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Anmeldeprotokollen Berichtleseberechtigter Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser

Multi-Factor Authentication

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Löschen aller vorhandenen App-Kennwörter, die von den ausgewählten Benutzern erstellt wurden Globaler Administrator
Deaktivieren der Benutzerbasierten MFA Privilegierter Authentifizierungsadministrator (über PowerShell) Privilegierter Authentifizierungsadministrator (über PowerShell)
Aktivieren der MFA pro Benutzer Privilegierter Authentifizierungsadministrator (über PowerShell) Privilegierter Authentifizierungsadministrator (über PowerShell)
Verwalten von MFA-Diensteinstellungen Authentifizierungsrichtlinienadministrator
Ausgewählte Benutzer müssen Kontaktmethoden erneut bereitstellen. Authentifizierungsadministrator
Wiederherstellen der mehrstufigen Authentifizierung für alle gespeicherten Geräte Authentifizierungsadministrator

MFA-Server

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Benutzer sperren/zulassen Authentifizierungsrichtlinienadministrator
Konfigurieren der Kontosperrung Authentifizierungsrichtlinienadministrator
Konfigurieren von Cacheregeln Authentifizierungsrichtlinienadministrator
Konfigurieren der Betrugswarnung Authentifizierungsrichtlinienadministrator
Konfigurieren von Benachrichtigungen Authentifizierungsrichtlinienadministrator
Konfigurieren einer Einmalumgehung Authentifizierungsrichtlinienadministrator
Konfigurieren von Einstellungen für Telefonanrufe Authentifizierungsrichtlinienadministrator
Konfigurieren von Anbietern Authentifizierungsrichtlinienadministrator
Konfigurieren der Servereinstellungen Authentifizierungsrichtlinienadministrator
Lesen eines Aktivitätsberichts Globaler Leser
Lesen aller Konfigurationen Globaler Leser
Lesen eines Serverstatus Globaler Leser

Organisationsbeziehungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Identitätsanbietern Externer Identitätsanbieteradministrator
Verwalten von Einstellungen Globaler Administrator
Verwalten von Nutzungsbedingungen Globaler Administrator
Lesen aller Konfigurationen Globaler Leser

Zurücksetzen von Kennwörtern

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Authentifizierungsmethoden Globaler Administrator
Konfigurieren der Anpassung Globaler Administrator
Konfigurieren einer Benachrichtigung Globaler Administrator
Konfigurieren einer lokalen Integration Globaler Administrator
Konfigurieren der Eigenschaften der Kennwortzurücksetzung Benutzeradministrator Globaler Administrator
Konfigurieren der Registrierung Globaler Administrator
Lesen aller Konfigurationen Sicherheitsadministrator Benutzeradministrator

Privileged Identity Management

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Zuweisen von Benutzern zu Rollen Administrator für privilegierte Rollen
Konfigurieren von Rolleneinstellungen Administrator für privilegierte Rollen
Anzeigen der Überwachungsaktivität Sicherheitsleseberechtigter
Anzeigen von Rollenmitgliedschaften Sicherheitsleseberechtigter

Rollen und Administratoren

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Rollenzuweisungen Administrator für privilegierte Rollen
Überprüfung des Lesezugriffs einer Azure AD-Rolle Sicherheitsleseberechtigter Sicherheitsadministrator
Administrator für privilegierte Rollen
Lesen aller Konfigurationen Standardbenutzerrolle

Sicherheit – Authentifizierungsmethoden

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Authentifizierungsmethoden Globaler Administrator
Konfigurieren des Kennwortschutzes Sicherheitsadministrator
Konfigurieren von Smart Lockout Sicherheitsadministrator
Lesen aller Konfigurationen Globaler Leser

Sicherheit: bedingter Zugriff

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von durch MFA bestätigten IP-Adressen Administrator für bedingten Zugriff
Erstellen von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Richtlinien Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von VPN-Konnektivitätszertifikaten Globaler Administrator  
Löschen einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen eines VPN-Konnektivitätszertifikats Administrator für bedingten Zugriff Sicherheitsadministrator
Deaktivieren einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter Sicherheitsadministrator
Lesen von benannten Standorten Sicherheitsleseberechtigter Administrator für bedingten Zugriff
Sicherheitsadministrator

Sicherheit – Identity Security Score

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter Sicherheitsadministrator
Lesen des Security Score Sicherheitsleseberechtigter Sicherheitsadministrator
Aktualisieren des Ereignisstatus Sicherheitsadministrator

Sicherheit – Riskante Anmeldungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen riskanter Anmeldevorgänge Sicherheitsleseberechtigter

Sicherheit – Benutzer mit Risikokennzeichnung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwerfen aller Ereignisse Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen von Benutzern mit Risikokennzeichnung Sicherheitsleseberechtigter

Befristeter Zugriffspass

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für einen beliebigen Benutzer (außer für sich selbst) und Konfigurieren und Verwalten der Richtlinie für Authentifizierungsmethoden Globaler Administrator
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Administratoren oder Mitglieder (außer für sich selbst) Privilegierter Authentifizierungsadministrator
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Mitglieder (außer für sich selbst) Authentifizierungsadministrator
Anzeigen der Details eines befristeten Zugriffspasses für einen Benutzer (ohne den Code selbst zu lesen) Globaler Leser
Konfigurieren oder Aktualisieren der Richtlinie für die Authentifizierungsmethode des befristeten Zugriffspasses Authentifizierungsrichtlinienadministrator

Benutzer

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen von Benutzern zur Verzeichnisrolle Administrator für privilegierte Rollen
Hinzufügen von Benutzern zur Gruppe Benutzeradministrator
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Erstellen eines Gastbenutzers Gasteinladender Benutzeradministrator
Zurücksetzen der Gastbenutzer-Einladung Benutzeradministrator Globaler Administrator
Benutzer erstellen Benutzeradministrator
Löschen von Benutzern Benutzeradministrator
Ungültige Aktualisierungstoken von Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Ungültige Aktualisierungstoken von Nicht-Administratoren Kennwortadministrator Benutzeradministrator
Ungültige Aktualisierungstoken von privilegierten Administratorrollen Privilegierter Authentifizierungsadministrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Zurücksetzen des Kennworts für eingeschränkte Administratoren Benutzeradministrator
Zurücksetzen des Kennworts von Nicht-Administratoren Kennwortadministrator Benutzeradministrator
Zurücksetzen des Kennworts von privilegierten Administratoren Privilegierter Authentifizierungsadministrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Verwalten aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens Benutzeradministrator
Aktualisieren des Benutzerprinzipalnamens für Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Aktualisieren der Benutzerprinzipalnamens-Eigenschaft für Administratoren mit eingeschränkten Berechtigungen Globaler Administrator
Aktualisieren von Benutzereinstellungen Globaler Administrator
Aktualisieren von Authentifizierungsmethoden Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Globaler Administrator

Support

Nächste Schritte