Share via


Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID

In diesem Artikel finden Sie die erforderlichen Informationen, um Administratorrechte eines Benutzers einzuschränken, indem Sie die am wenigsten privilegierten Rollen in Microsoft Entra ID zuweisen. Sie werden Aufgaben finden, die nach Funktionsbereichen und der Rolle mit den geringsten Berechtigungen geordnet sind, die zum Ausführen jeder Aufgabe erforderlich sind, zusammen mit zusätzlichen nicht-globalen Administratorrollen, die die Aufgabe ausführen können.

Sie können Berechtigungen weiter einschränken, indem Sie Rollen in kleineren Bereichen zuweisen oder eigene benutzerdefinierte Rollen erstellen. Weitere Informationen finden Sie unter Zuweisen Microsoft Entra Rollen in verschiedenen Bereichen oder Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID.

Anwendungsproxy

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren einer Anwendungsproxy-App Anwendungsadministrator
Konfigurieren von Connectorgruppeneigenschaften Anwendungsadministrator
Erstellen einer Anwendungsregistrierung, wenn die Funktion für alle Benutzer deaktiviert ist Anwendungsentwickler Cloudanwendungsadministrator
Anwendungsadministrator
Erstellen einer Connectorgruppe Anwendungsadministrator
Löschen einer Connectorgruppe Anwendungsadministrator
Anwendungsproxy deaktivieren Anwendungsadministrator
Herunterladen eines Connectordiensts Anwendungsadministrator
Lesen aller Konfigurationen Anwendungsadministrator

Externe Identitäten/B2C

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen von Azure AD B2C-Verzeichnissen Alle Nicht-Gastbenutzer
Erstellen von Unternehmensanwendungen Cloudanwendungsadministrator Anwendungsadministrator
Erstellen, Lesen, Aktualisieren und Löschen von B2C-Richtlinien B2C-IEF-Richtlinienadministrator
Erstellen, Lesen, Aktualisieren und Löschen von Identitätsanbietern Externer Identitätsanbieteradministrator
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Kennwortzurücksetzung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Profilbearbeitung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Anmeldung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Registrierung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerattributen Administrator für Benutzerflowattribute mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzern Benutzeradministrator
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Gastbenutzerzugriff Administrator für privilegierte Rollen
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einstellungen für Gasteinladungen Gasteinladender Administrator für Benutzerflows mit externer ID
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einstellungen zum Verlassen von externen Benutzern Externer Identitätsanbieteradministrator
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einschränkungen für die Zusammenarbeit Globaler Administrator
Lesen aller Konfigurationen Globaler Leser
Lesen von B2C-Überwachungsprotokollen Globaler Leser

Hinweis

Globale Azure AD B2C-Administratoren haben nicht die gleichen Berechtigungen wie Globale Microsoft Entra-Administratoren. Wenn Sie über globale Azure AD B2C-Administratorrechte verfügen, stellen Sie sicher, dass Sie sich in einem Azure AD B2C-Verzeichnis und nicht in einem Microsoft Entra-Verzeichnis befinden.

Unternehmensbranding

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren des Unternehmensbrandings Organisationsbrandingadministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Verbinden

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Hybrididentitätsadministrator
Lesen aller Konfigurationen Globaler Leser Hybrididentitätsadministrator
Nahtloses einmaliges Anmelden Hybrididentitätsadministrator

Cloudbereitstellung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Hybrididentitätsadministrator
Lesen aller Konfigurationen Globaler Leser Hybrididentitätsadministrator
Nahtloses einmaliges Anmelden Hybrididentitätsadministrator

Connect Health

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen oder Löschen von Diensten Bes.
Anwenden von Fehlerbehebungen zum Synchronisieren von Fehlern Mitwirkender Bes.
Konfigurieren von Benachrichtigungen Mitwirkender Bes.
Konfigurieren von Einstellungen Bes.
Konfigurieren von Synchronisierungsbenachrichtigungen Mitwirkender Bes.
Lesen von AD FS-Sicherheitsberichten Sicherheitsleseberechtigter Mitwirkender
Bes.
Lesen aller Konfigurationen Leser Mitwirkender
Bes.
Lesen von Synchronisierungsfehlern Leser Mitwirkender
Bes.
Lesen von Synchronisierungsdiensten Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen zum Synchronisierungsdienst Leser Mitwirkender
Bes.

Benutzerdefinierte Domänennamen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Domänen Domänennamenadministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Domänendienste

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen von Microsoft Entra Domain Services-Instanzen Anwendungsadministrator
Gruppenadministrator
Mitwirkender für Domänendienste
Ausführen aller Microsoft Entra Domain Services-Aufgaben AAD-DC-Administratorengruppe
Lesen aller Konfigurationen Leser für Azure-Abonnements, die den AD DS-Dienst umfassen

Geräte

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Löschen des Geräts Cloudgeräteadministrator Intune-Administrator
Deaktivieren eines Geräts Cloudgeräteadministrator Intune-Administrator
Aktivieren eines Geräts Cloudgeräteadministrator Intune-Administrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Lesen von BitLocker-Schlüsseln Cloudgeräteadministrator Helpdeskadministrator
Intune-Administrator
Sicherheitsadministrator
Sicherheitsleseberechtigter

Unternehmensanwendungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erteilen der Zustimmung zu delegierten Berechtigungen Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen, jedoch nicht für Microsoft Graph Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen für Microsoft Graph Administrator für privilegierte Rollen
Erteilen der Zustimmung für Anwendungen, die auf eigene Daten zugreifen Standardbenutzerrolle
Erstellen einer Unternehmensanwendung Cloudanwendungsadministrator Anwendungsadministrator
Verwalten eines Anwendungsproxys Anwendungsadministrator
Überprüfung des Lesezugriffs einer Gruppe oder einer App Sicherheitsleseberechtigter Sicherheitsadministrator
Benutzeradministrator
Lesen aller Konfigurationen Standardbenutzerrolle
Aktualisieren von Enterprise-Anwendungszuweisungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Benutzeradministrator
Aktualisieren von Enterprise-Anwendungsbesitzern Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Enterprise-Anwendungseigenschaften Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren der Enterprise-Anwendungsbereitstellung Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren des Self-Service-Zugriffs auf Enterprise-Anwendungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Eigenschaften für das einmalige Anmelden Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen Authentifizierungserweiterungsadministrator Anwendungsadministrator

Berechtigungsverwaltung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen von Ressourcen zu einem Katalog Identity Governance-Administrator Mit der Berechtigungsverwaltung können Sie diese Aufgabe an den Katalogbesitzer delegieren.
Hinzufügen von SharePoint Online-Websites zum Katalog SharePoint-Administrator

Gruppen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Benutzeradministrator
Erstellen einer Gruppe Gruppenadministrator Benutzeradministrator
Erstellen, Aktualisieren oder Löschen der Zugriffsüberprüfung einer Gruppe oder einer App Benutzeradministrator
Verwalten des Gruppenablaufs Benutzeradministrator
Verwalten von Gruppeneinstellungen Gruppenadministrator Benutzeradministrator
Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft) Verzeichnisleseberechtigte Standardbenutzerrolle
Lesen der ausgeblendeten Mitgliedschaft Gruppenmitglied Gruppenbesitzer
Kennwortadministrator
Exchange-Administrator
SharePoint-Administrator
Teams-Administrator
Benutzeradministrator
Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft Helpdeskadministrator Benutzeradministrator
Teams-Administrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Aktualisieren der Gruppenmitgliedschaft Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppenbesitzern Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppeneigenschaften Gruppenbesitzer Benutzeradministrator
Gruppe löschen Gruppenadministrator Benutzeradministrator

Schutz der Identität (Identity Protection)

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Warnungsbenachrichtigungen Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer MFA-Richtlinie Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Anmelderisiko Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Benutzerrisiko Sicherheitsadministrator
Konfigurieren von wöchentlichen Digests Sicherheitsadministrator
Alle Risikoerkennungen schließen Sicherheitsadministrator
Beheben oder Ausschließen von Sicherheitsrisiken Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen aller Risikoerkennungen Sicherheitsleseberechtigter
Lesen von Sicherheitsrisiken Sicherheitsleseberechtigter

Lizenzen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Testen oder Erwerben von Abonnements Rechnungsadministrator

Überwachung – Überwachungsprotokolle

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Überwachungsprotokollen Berichtleseberechtigter Sicherheitsleseberechtigter
Sicherheitsadministrator

Überwachung – Anmeldungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Anmeldeprotokollen Berichtleseberechtigter Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser

Mehrstufige Authentifizierung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Löschen aller vorhandenen App-Kennwörter, die von den ausgewählten Benutzern erstellt wurden Authentifizierungsrichtlinienadministrator Authentifizierungsadministrator
Deaktivieren der Benutzerbasierten MFA Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Aktivieren der MFA pro Benutzer Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Verwalten von MFA-Diensteinstellungen Authentifizierungsrichtlinienadministrator
Ausgewählte Benutzer müssen Kontaktmethoden erneut bereitstellen. Authentifizierungsadministrator
Wiederherstellen der Multi-Faktor-Authentifizierung für alle gespeicherten Geräte Authentifizierungsadministrator

MFA-Server

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Benutzer sperren/zulassen Authentifizierungsrichtlinienadministrator
Konfigurieren der Kontosperrung Authentifizierungsrichtlinienadministrator
Konfigurieren von Cacheregeln Authentifizierungsrichtlinienadministrator
Konfigurieren der Betrugswarnung Authentifizierungsrichtlinienadministrator
Konfigurieren von Benachrichtigungen Authentifizierungsrichtlinienadministrator
Konfigurieren einer Einmalumgehung Authentifizierungsrichtlinienadministrator
Konfigurieren von Einstellungen für Telefonanrufe Authentifizierungsrichtlinienadministrator
Konfigurieren von Anbietern Authentifizierungsrichtlinienadministrator
Konfigurieren der Servereinstellungen Authentifizierungsrichtlinienadministrator
Lesen eines Aktivitätsberichts Globaler Leser
Lesen aller Konfigurationen Globaler Leser
Lesen eines Serverstatus Globaler Leser

Organisationsbeziehungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Identitätsanbietern Externer Identitätsanbieteradministrator
Lesen aller Konfigurationen Globaler Leser

Zurücksetzen von Kennwörtern

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Authentifizierungsmethoden Authentifizierungsrichtlinienadministrator
Konfigurieren der Anpassung Authentifizierungsrichtlinienadministrator
Konfigurieren einer Benachrichtigung Authentifizierungsrichtlinienadministrator
Konfigurieren einer lokalen Integration Authentifizierungsrichtlinienadministrator
Konfigurieren der Eigenschaften der Kennwortzurücksetzung Benutzeradministrator Authentifizierungsrichtlinienadministrator
Konfigurieren der Registrierung Authentifizierungsrichtlinienadministrator
Lesen aller Konfigurationen Sicherheitsadministrator Benutzeradministrator

Verwaltung von Berechtigungen

Was ist Microsoft Entra Permissions Management

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Onboarding von Mandanten Berechtigungsverwaltungsadministrator
Onboarding von Cloudumgebungen Berechtigungsverwaltungsadministrator
Zuweisen von Berechtigungen in der Verwaltung von Microsoft Entra-Berechtigungen Berechtigungsverwaltungsadministrator
Testversion starten und Microsoft Entra Permissions Management-Lizenzen kaufen Rechnungsadministrator

Privileged Identity Management

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Zuweisen von Benutzern zu Rollen Administrator für privilegierte Rollen
Konfigurieren von Rolleneinstellungen Administrator für privilegierte Rollen
Anzeigen der Überwachungsaktivität Sicherheitsleseberechtigter
Anzeigen von Rollenmitgliedschaften Sicherheitsleseberechtigter

Rollen und Administratoren

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Rollenzuweisungen Administrator für privilegierte Rollen
Überprüfen des Lesezugriffs einer Microsoft Entra Rolle Sicherheitsleseberechtigter Sicherheitsadministrator
Administrator für privilegierte Rollen
Lesen aller Konfigurationen Standardbenutzerrolle

Sicherheit – Authentifizierungsmethoden

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Aktivieren oder Deaktivieren von Authentifizierungsmethoden Authentifizierungsrichtlinienadministrator
Anzeigen, Bereitstellen im Auftrag und Verwalten einzelner Benutzerauthentifizierungsmethoden Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Konfigurieren des Kennwortschutzes Sicherheitsadministrator
Konfigurieren von Smart Lockout Sicherheitsadministrator
Lesen aller Konfigurationen Globaler Leser

Sicherheit: bedingter Zugriff

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von durch MFA bestätigten IP-Adressen Administrator für bedingten Zugriff
Erstellen von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Richtlinien Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von VPN-Konnektivitätszertifikaten Cloudanwendungsadministrator Anwendungsadministrator
Löschen einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen eines VPN-Konnektivitätszertifikats Administrator für bedingten Zugriff Sicherheitsadministrator
Deaktivieren einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Lesen aller Konfigurationen Standardbenutzerrolle
Lesen von benannten Standorten Standardbenutzerrolle

Sicherheit – Identity Security Score

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter Sicherheitsadministrator
Lesen des Security Score Sicherheitsleseberechtigter Sicherheitsadministrator
Aktualisieren des Ereignisstatus Sicherheitsadministrator

Sicherheit – Riskante Anmeldungen

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen riskanter Anmeldevorgänge Sicherheitsleseberechtigter

Sicherheit – Benutzer mit Risikokennzeichnung

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwerfen aller Ereignisse Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen von Benutzern mit Risikokennzeichnung Sicherheitsleseberechtigter

Befristeter Zugriffspass

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Administratoren oder Mitglieder (außer für sich selbst) Privilegierter Authentifizierungsadministrator
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Mitglieder (außer für sich selbst) Authentifizierungsadministrator
Anzeigen der Details eines befristeten Zugriffspasses für einen Benutzer (ohne den Code selbst zu lesen) Globaler Leser
Konfigurieren oder Aktualisieren der Richtlinie für die Authentifizierungsmethode des befristeten Zugriffspasses Authentifizierungsrichtlinienadministrator

Mandant

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen eines Microsoft Entra ID- oder Azure AD B2C-Mandanten Mandantenersteller
Aktualisieren von Microsoft Entra-Mandanteneigenschaften Rechnungsadministrator
Verwalten von Datenschutzbestimmungen und Kontakten Rechnungsadministrator

Benutzer

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen von Benutzern zur Verzeichnisrolle Administrator für privilegierte Rollen
Hinzufügen von Benutzern zur Gruppe Benutzeradministrator
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Erstellen eines Gastbenutzers Gasteinladender Benutzeradministrator
Zurücksetzen der Gastbenutzer-Einladung Helpdeskadministrator Benutzeradministrator
Benutzer erstellen Benutzeradministrator
Löschen von Benutzern Benutzeradministrator
Ungültige Aktualisierungstoken von Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Ungültige Aktualisierungstoken von Nicht-Administratoren Helpdeskadministrator Benutzeradministrator
Ungültige Aktualisierungstoken von privilegierten Administratorrollen Privilegierter Authentifizierungsadministrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Zurücksetzen des Kennworts für eingeschränkte Administratoren Benutzeradministrator
Zurücksetzen des Kennworts von Nicht-Administratoren Kennwortadministrator Benutzeradministrator
Zurücksetzen des Kennworts von privilegierten Administratoren Privilegierter Authentifizierungsadministrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Verwalten aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens Benutzeradministrator
Aktualisieren der Eigenschaft „Lokale Synchronisierung aktiviert“ Hybrididentitätsadministrator
Aktualisieren des Benutzerprinzipalnamens für Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Aktualisieren der Benutzerprinzipalnamens-Eigenschaft für Administratoren mit eingeschränkten Berechtigungen Privilegierter Authentifizierungsadministrator
Aktualisieren von Benutzereinstellungen: Standardberechtigungen für Benutzerrollen Administrator für privilegierte Rollen
Aktualisieren von Benutzereinstellungen – Gastbenutzerzugriff Administrator für privilegierte Rollen
Aktualisieren von Benutzereinstellungen – Verwaltungscenter Globaler Administrator
Aktualisieren von Benutzereinstellungen – LinkedIn-Kontoverbindungen Globaler Administrator
Aktualisieren von Benutzereinstellungen – Anzeigen, dass der Benutzer angemeldet bleibt Globaler Administrator
Aktualisieren von Authentifizierungsmethoden Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator

Unterstützung

Nächste Schritte