Teilen über


Zuweisen von Microsoft Entra-Rollen mit Verwaltungseinheitsbereich

Um eine präzisere administrative Steuerung zu ermöglichen, können Sie Benutzer*innen in Microsoft Entra ID eine Microsoft Entra-Rolle mit einem auf einzelne oder mehrere Verwaltungseinheiten beschränkten Bereich zuweisen. Wenn eine Microsoft Entra-Rolle im Bereich einer Verwaltungseinheit zugewiesen wird, gelten die Rollenberechtigungen nur für die Verwaltung von Mitgliedern der Verwaltungseinheit selbst und nicht für mandantenweite Einstellungen oder Konfigurationen.

Beispielsweise können Administratoren und Administratorinnen mit der Rolle „Gruppenadministrator“ im Bereich einer Verwaltungseinheit Gruppen verwalten, die Mitglieder der Verwaltungseinheit sind. Sie können jedoch keine anderen Gruppen im Mandanten verwalten. Sie können ebenfalls keine Einstellungen auf Mandantenebene verwalten, die sich auf Gruppen beziehen, wie z. B. Ablauf- oder Gruppenbenennungsrichtlinien.

In diesem Artikel wird beschrieben, wie Sie Microsoft Entra-Rollen im Gültigkeitsbereich einer Verwaltungseinheit zuweisen.

Voraussetzungen

  • Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
  • Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
  • Administrator für privilegierte Rollen
  • Microsoft Graph PowerShell-Modul bei verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Rollen, die mit dem Bereich der Verwaltungseinheit zugewiesen werden können

Die folgenden Microsoft Entra-Rollen können mit einem Bereich der Verwaltungseinheit zugewiesen werden. Darüber hinaus können benutzerdefinierte Rollen mit einem Bereich der Verwaltungseinheit zugewiesen werden, solange die Berechtigungen der benutzerdefinierten Rolle mindestens eine Berechtigung umfassen, die für Benutzer, Gruppen oder Geräte relevant ist.

Rolle Beschreibung
Authentifizierungsadministrator Hat nur in der zugewiesenen Verwaltungseinheit Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zur Authentifizierungsmethode für alle Benutzer ohne Administratorrechte.
Cloudgeräteadministrator Eingeschränkter Zugriff zum Verwalten von Geräten in Microsoft Entra ID.
Gruppenadministrator Kann alle Aspekte der Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten.
Helpdeskadministrator Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen.
Lizenzadministrator Kann nur in der Verwaltungseinheit Lizenzzuweisungen vornehmen, entfernen und aktualisieren.
Kennwortadministrator Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen.
Druckeradministrator Kann Drucker und Druckerconnectors verwalten. Weitere Informationen finden Sie unter Delegieren der Verwaltung von Druckern in Universal Print.
Privilegierter Authentifizierungsadministrator Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte).
SharePoint-Administrator Kann Microsoft 365-Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten. Für SharePoint-Websites, die einer Microsoft 365-Gruppe in einer Verwaltungseinheit zugeordnet sind, können Sie die Websiteeigenschaften (Websitename, URL und externe Freigaberichtlinie) auch über das Microsoft 365 Admin Center aktualisieren. Kann weder das SharePoint Admin Center noch SharePoint-APIs zur Verwaltung von Websites verwenden.
Teams-Administrator Kann Microsoft 365-Gruppen ausschließlich in der zugewiesenen Verwaltungseinheit verwalten. Kann Teammitglieder im Microsoft 365 Admin Center nur für Teams verwalten, die Gruppen in der zugewiesenen Verwaltungseinheit zugeordnet sind. Kann nicht das Teams Admin Center verwenden.
Teams-Geräteadministrator Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten.
Benutzeradministrator Kann nur in der zugewiesenen Verwaltungseinheit alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für Administratoren mit eingeschränkten Berechtigungen. Benutzerprofilfotos können derzeit nicht verwaltet werden.
<Benutzerdefinierte Rolle> Kann Aktionen ausführen, die gemäß der Definition der benutzerdefinierten Rolle für Benutzer, Gruppen oder Geräte gelten.

Bestimmte Rollenberechtigungen gelten nur für Benutzer ohne Administratorrechte, wenn sie dem Bereich einer Verwaltungseinheit zugewiesen sind. Anders ausgedrückt: Helpdeskadministratoren im Bereich der Verwaltungseinheit können Kennwörter für Benutzer und Benutzerinnen in der Verwaltungseinheit nur zurücksetzen, wenn diese nicht über Administratorrollen verfügen. Die folgende Liste der Berechtigungen ist eingeschränkt, wenn das Ziel einer Aktion ein anderer Administrator ist:

  • Lesen und Ändern von Benutzerauthentifizierungsmethoden oder Zurücksetzen von Benutzerpasswörtern
  • Ändern vertraulicher Benutzereigenschaften wie Telefonnummern, alternative E-Mail-Adressen oder OAuth-Schlüssel (Open Authorization)
  • Löschen oder Wiederherstellen von Benutzerkonten

Sicherheitsprinzipale, die im Bereich der Verwaltungseinheit zugewiesen werden können

Die folgenden Sicherheitsprinzipale können einer Rolle im Bereich von Verwaltungseinheiten zugewiesen werden:

  • Benutzer
  • Microsoft Entra-Gruppen, denen Rollen zugewiesen werden können
  • Dienstprinzipale

Dienstprinzipale und Gastbenutzer

Dienstprinzipale und Gastbenutzer/-benutzerinnen können eine Rollenzuweisung, die auf eine Verwaltungseinheit beschränkt ist, nur dann verwenden, wenn ihnen auch die entsprechenden Berechtigungen zum Lesen der Objekte zugewiesen wurden. Dies liegt daran, dass Dienstprinzipale und Gastbenutzer/-benutzerinnen standardmäßig keine Leseberechtigung für Verzeichnisse erhalten, die aber für die Durchführung von administrativen Aktionen erforderlich ist. Damit ein Dienstprinzipal oder ein Gastbenutzer eine Rollenzuweisung mit dem Geltungsbereich einer Verwaltungseinheit verwenden kann, müssen Sie die Rolle Verzeichnisleser (oder eine andere Rolle mit Leserechten) mit dem Geltungsbereich eines Mandanten zuweisen.

Es ist derzeit nicht möglich, einer Verwaltungseinheit Leseberechtigungen für Verzeichnisse zu erteilen. Weitere Informationen zu Standardberechtigungen für Benutzer finden Sie unter Standardbenutzerberechtigungen.

Zuweisen einer Rolle mit einem Bereich der Verwaltungseinheit

Sie können eine Microsoft Entra-Rolle mit einem Bereich der Verwaltungseinheit zuweisen, indem Sie das Microsoft Entra Admin Center, PowerShell oder Microsoft Graph verwenden.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit aus, der Sie einen Benutzerrollenbereich zuweisen möchten.

  4. Wählen Sie im linken Bereich die Option Rollen und Administratoren aus, um alle verfügbaren Rollen aufzulisten.

    Screenshot: Bereich „Rollen und Administratoren“ zum Auswählen einer Verwaltungseinheit, deren Rollenbereich zugewiesen werden soll

  5. Wählen Sie die zuzuweisende Rolle und anschließend Zuweisungen hinzufügen aus.

  6. Wählen Sie im Bereich Zuweisungen hinzufügen mindestens einen Benutzer aus, dem die Rolle zugewiesen werden soll.

    Auswählen der Rolle für den Bereich und dann Auswählen von „Zuweisungen hinzufügen“

Hinweis

Informationen zum Zuweisen einer Rolle für eine Verwaltungseinheit unter Verwendung von Microsoft Entra Privileged Identity Management (PIM) finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

PowerShell

Verwenden Sie den Befehl New-MgRoleManagementDirectoryRoleAssignment und den DirectoryScopeId-Parameter zum Zuweisen einer Rolle im Bereich einer Verwaltungseinheit.

$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph-API

Verwenden Sie die API Add a scopedRoleMember, um eine Rolle im Bereich einer Verwaltungseinheit zuzuweisen.

Anforderung

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Text

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Liste von Rollenzuweisungen mit Verwaltungseinheitenbereich

Sie können eine Liste von Microsoft Entra-Rollenzuweisungen mit einem Bereich der Verwaltungseinheit anzeigen, indem Sie das Microsoft Entra Admin Center, PowerShell oder Microsoft Graph verwenden.

Microsoft Entra Admin Center

Alle Rollenzuweisungen, die mit einem auf Verwaltungseinheiten bezogenen Bereich erstellt wurden, können im Abschnitt Verwaltungseinheiten des Microsoft Entra Admin Centers angezeigt werden.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identität>Rollen und Administratoren>Verwaltungseinheiten.

  3. Wählen Sie die Verwaltungseinheit für die Liste mit den Rollenzuweisungen aus, die Sie anzeigen möchten.

  4. Wählen Sie Rollen und Administratoren aus, und öffnen Sie anschließend eine Rolle, um die Zuweisungen in der Verwaltungseinheit anzuzeigen.

PowerShell

Verwenden Sie den Befehl Get-MgDirectoryAdministrativeUnitScopedRoleMember zum Auflisten von Rollenzuweisungen im Bereich einer Verwaltungseinheit.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Microsoft Graph-API

Verwenden Sie die API List scopedRoleMembers, um Rollenzuweisungen im Bereich einer Verwaltungseinheit aufzulisten.

Anforderung

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Text

{}

Nächste Schritte