Rollen in allen Microsoft-Diensten
Dienste in Microsoft 365 können mit administrativen Rollen in Microsoft Entra ID verwaltet werden. Einige Dienste bieten auch zusätzliche Rollen an, die für diesen Dienst spezifisch sind. Dieser Artikel enthält Inhalte, API-Verweise und Überprüfungs- und Überwachungsverweise im Zusammenhang mit rollenbasierter Zugriffssteuerung (RBAC) für Microsoft 365 und andere Dienste.
Microsoft Entra
Microsoft Entra ID und zugehörige Dienste in Microsoft Entra.
Microsoft Entra ID
| Bereich | Inhalt |
|---|---|
| Übersicht | Integrierte Microsoft Entra-Rollen |
| Referenz zur Verwaltungs-API | Microsoft Entra-Rollen Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Wenn eine Rolle einer Gruppe zugewiesen wird, verwalten Sie die Gruppenmitgliedschaften mit der Microsoft Graph v1.0 Gruppen-API |
| Verweis zu Überwachung und Monitoring | Microsoft Entra-Rollen Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieWenn einer Gruppe eine Rolle zugewiesen wird, um Änderungen an Gruppenmitgliedschaften zu prüfen, siehe Überwachungen mit der GroupManagement-Kategorie und den Aktivitäten Add member to group und Remove member from group |
Berechtigungsverwaltung
| Bereich | Inhalt |
|---|---|
| Übersicht | Berechtigungsverwaltungsrollen |
| Referenz zur Verwaltungs-API | Berechtigungsverwaltungsspezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.directory/entitlementManagement beginnenBerechtigungsverwaltungsspezifische Rollen Microsoft Graph v1.0 roleManagement-API • Verwenden Sie entitlementManagement-Anbieter |
| Verweis zu Überwachung und Monitoring | Berechtigungsverwaltungsspezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieBerechtigungsverwaltungsspezifische Rollen Im Microsoft Entra-Überwachungsprotokoll mit der Kategorie und Aktivität EntitlementManagement ist eine der folgenden:• Remove Entitlement Management role assignment• Add Entitlement Management role assignment |
Microsoft 365
Dienste in der Microsoft 365-Suite.
Exchange
| Bereich | Inhalt |
|---|---|
| Übersicht | Berechtigungen in Exchange Online |
| Referenz zur Verwaltungs-API | Exchange-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Rollen mit Berechtigungen beginnend mit: microsoft.office365.exchangeExchange-spezifische Rollen Microsoft Graph Beta roleManagement-API • Verwenden Sie exchange-Anbieter |
| Verweis zu Überwachung und Monitoring | Exchange-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieExchange-spezifische Rollen Verwenden Sie die Microsoft Graph Beta-Sicherheits-API (Überwachungsprotokollabfrage) und listen Sie Überwachungsereignisse auf, bei denen „recordType == ExchangeAdmin“ und der Vorgang einer der folgenden ist:Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, New-RoleGroup, Remove-RoleGroup, New-ManagementRole, Remove-ManagementRoleEntry, New-ManagementRoleAssignment |
SharePoint
Umfasst SharePoint, OneDrive, Delve, Listen, Project Online und Loop.
| Bereich | Inhalt |
|---|---|
| Übersicht | Informationen zur SharePoint-Administratorrolle in Microsoft 365 Delve für Admins Steuerelementeinstellungen für Microsoft Listen Ändern der Berechtigungsverwaltung in Project Online |
| Referenz zur Verwaltungs-API | SharePoint-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Rollen mit Berechtigungen beginnend mit: microsoft.office365.sharepoint |
| Verweis zu Überwachung und Monitoring | SharePoint-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Intune
| Bereich | Inhalt |
|---|---|
| Übersicht | Rollenbasierte Zugriffssteuerung (RBAC) für Microsoft Intune |
| Referenz zur Verwaltungs-API | Intune-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Rollen mit Berechtigungen beginnend mit: microsoft.intuneIntune-spezifische Rollen Microsoft Graph Beta roleManagement-API • Verwenden Sie deviceManagement-Anbieter• Alternativ können Sie die Intune-spezifische Microsoft Graph Beta-RBAC-Verwaltungs-API verwenden |
| Verweis zu Überwachung und Monitoring | Intune-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 directoryAudit-API • RoleManagement-KategorieIntune-spezifische Rollen Übersicht über die Intune-Überwachung API-Zugriff auf Intune-spezifische Überwachungsprotokolle: • Microsoft Graph Beta getAuditActivityTypes-API • Führen Sie zuerst die Aktivitätstypen auf, bei denen „category= Role“ ist, und verwenden Sie dann die Microsoft Graph Beta-auditEvents-API, um alle auditEvents für jeden Aktivitätstyp aufzulisten |
Teams
Umfasst Teams, Bookings, Copilot Studio für Teams und Schichten.
| Bereich | Inhalt |
|---|---|
| Übersicht | Verwenden von Microsoft Teams-Administratorrollen zur Verwaltung von Teams |
| Referenz zur Verwaltungs-API | Teams-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Rollen mit Berechtigungen beginnend mit: microsoft.teams |
| Verweis zu Überwachung und Monitoring | Teams-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Purview-Suite
Umfasst die Purview-Suite, Azure Information Protection und Informationsbarrieren.
| Bereich | Inhalt |
|---|---|
| Übersicht | Rollen und Rollengruppen in Microsoft Defender für Office 365 und Microsoft Purview |
| Referenz zur Verwaltungs-API | Purview-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit Folgendem beginnen: microsoft.office365.complianceManagermicrosoft.office365.protectionCentermicrosoft.office365.securityComplianceCenterPurview-spezifische Rollen Verwenden Sie PowerShell: PowerShell für Sicherheit und Compliance. Bestimmte Cmdlets sind: Get-RoleGroup Get-RoleGroupMember New-RoleGroup Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroup |
| Verweis zu Überwachung und Monitoring | Purview-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategoriePurview-spezifische Rollen Verwenden Sie die Microsoft Graph Beta-Sicherheits-API (Beta-Überwachungsprotokollabfrage) und listen Sie Überwachungsereignisse auf, bei denen „recordType == SecurityComplianceRBAC“ und der Vorgang einer der folgenden ist: Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, New-RoleGroup, Remove-RoleGroup. |
Power Platform
Umfasst Power Platform, Dynamics 365, Flow und Dataverse for Teams.
| Bereich | Inhalt |
|---|---|
| Übersicht | Serviceadministratorrollen zur Mandantenverwaltung verwenden Sicherheitsrollen und -rechte |
| Referenz zur Verwaltungs-API | Power Platform-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit Folgendem beginnen: microsoft.powerAppsmicrosoft.dynamics365microsoft.flowDataverse-spezifische Rollen Vorgänge mithilfe der Web-API ausführen • Abfrage der Benutzer- (SystemUser-) Tabellen-/Entitätsreferenz • Rollenzuweisungen sind Teil der systemuserroles_association-Tabellen |
| Verweis zu Überwachung und Monitoring | Power Platform-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieDataverse-spezifische Rollen Übersicht über die Dataverse-Überwachung API für den Zugriff auf dataverse-spezifische Überwachungsprotokolle Dataverse-Web-API • Verweis zur Überwachungstabelle • Überwachungen mit Aktionscodes: 53 – Zuweisen einer Rolle zu einem Team 54 – Entfernen der Rolle aus einem Team 53 – Zuweisen einer Rolle zu einem Benutzer bzw. einer Benutzerin 56 – Entfernen der Rolle eines Benutzers bzw. einer Benutzerin 57 – Hinzufügen von Rechten zu einer Rolle 58 – Entfernen von Rechten einer Rolle 59 – Ersetzen von Rechten in einer Rolle |
Defender-Suite
Umfasst Defender-Suite, Secure Score, Cloud App Security und Threat Intelligence.
| Bereich | Inhalt |
|---|---|
| Übersicht | Microsoft Defender XDR Unified– rollenbasierte Zugriffssteuerung (RBAC) |
| Referenz zur Verwaltungs-API | Defender-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Die folgenden Rollen verfügen über Berechtigungen (Verweis): Sicherheitsadministrator, Sicherheitsoperator, Sicherheitsleseberechtigter, globaler Administrator und globaler Leser Defender-spezifische Rollen Workloads müssen aktiviert werden, um Defender Unified RBAC zu verwenden. Siehe Aktivieren der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Defender XDR Unified. Durch Aktivieren von Defender Unified RBAC werden einzelne Defender-Lösungsrollen deaktiviert. • Kann nur über das Portal security.microsoft.com verwaltet werden |
| Verweis zu Überwachung und Monitoring | Defender-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Viva Engage
| Bereich | Inhalt |
|---|---|
| Übersicht | Verwalten von Administratorrollen in Viva Engage |
| Referenz zur Verwaltungs-API | Viva Engage-spezifische Rollen in Microsoft Entra-ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.yammer beginnen.Viva Engage-spezifische Rollen • Bestätigte Administrator- und Netzwerkadministratorrollen können über das Yammer Admin Center verwaltet werden. - Die Rolle des Unternehmens-Communicators kann über das Viva Engage Admin Center zugewiesen werden. • Yammer Data Export API kann verwendet werden, um admins.csv zu exportieren, um die Liste der Admins zu lesen |
| Verweis zu Überwachung und Monitoring | Viva Engage-spezifische Rollen in Microsoft Entra-ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieViva Engage-spezifische Rollen • Verwenden Sie die Yammer-Datenexport-API, um die admins.csv-Datei schrittweise zu exportieren und eine Liste der Admins zu erstellen. |
Viva Connections
| Bereich | Inhalt |
|---|---|
| Übersicht | Administratorrollen und -aufgaben in Microsoft Viva |
| Referenz zur Verwaltungs-API | Viva Connections-spezifische Rollen in Microsoft Entra-ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Die folgenden Rollen verfügen über Berechtigungen: SharePoint-Administrator, Teams-Administrator und globaler Administrator |
| Verweis zu Überwachung und Monitoring | Viva Connections-spezifische Rollen in Microsoft Entra-ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Viva Learning
| Bereich | Inhalt |
|---|---|
| Übersicht | Einrichten von Microsoft Viva Learning im Teams Admin Center |
| Referenz zur Verwaltungs-API | Viva Learning-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.knowledge beginnen |
| Verweis zu Überwachung und Monitoring | Viva Learning-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Viva Insights
| Bereich | Inhalt |
|---|---|
| Übersicht | Rollen in Viva Insights |
| Referenz zur Verwaltungs-API | Viva Insights-spezifische Rollen in der Microsoft Entra-ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.insights beginnen |
| Verweis zu Überwachung und Monitoring | Viva Insights-spezifische Rollen in der Microsoft Entra-ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Suche
| Bereich | Inhalt |
|---|---|
| Übersicht | Einrichten von Microsoft Search |
| Referenz zur Verwaltungs-API | Search-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.search beginnen |
| Verweis zu Überwachung und Monitoring | Search-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Universal Print
| Bereich | Inhalt |
|---|---|
| Übersicht | Universal Print-Administratorrollen |
| Referenz zur Verwaltungs-API | Universal Print-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.azure.print beginnen |
| Verweis zu Überwachung und Monitoring | Universal Print-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Microsoft 365 Apps Suite Management
Umfasst microsoft 365 Apps Suite Management und Forms.
| Bereich | Inhalt |
|---|---|
| Übersicht | Überblick über das Microsoft 365 Apps Admin Center Administratoreinstellungen für Microsoft Forms |
| Referenz zur Verwaltungs-API | Microsoft 365 Apps-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Die folgenden Rollen verfügen über Berechtigungen: Office-Apps-Administrator, Sicherheitsadministrator, globaler Administrator |
| Verweis zu Überwachung und Monitoring | Microsoft 365 Apps-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Azure
Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) für die Azure-Steuerungsebene und Abonnementinformationen.
Azure
Umfasst Azure und Sentinel.
| Bereich | Inhalt |
|---|---|
| Übersicht | Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)? Rollen und Berechtigungen in Microsoft Sentinel |
| Referenz zur Verwaltungs-API | Azure-Dienst-spezifische Rollen in Azure Azure Resource Manager-Autorisierungs-API • Rollenzuweisung: Liste, Erstellen/Aktualisieren, Löschen • Rollendefinition: Liste, Erstellen/Aktualisieren, Löschen Es gibt eine veraltete Methode, um Zugriff auf Azure-Ressourcen zu gewähren, die als klassische Administratoren bezeichnet wird. Klassische Administratoren entsprechen der Besitzerrolle in Azure RBAC. Klassische Administratoren werden im August 2024 eingestellt. Beachten Sie, dass ein globaler Microsoft Entra Admin über erhöhte Zugriffsrechte einseitigen Zugriff auf Azure erhalten kann. |
| Verweis zu Überwachung und Monitoring | Azure-Dienst-spezifische Rollen in Azure Überwachen von Azure RBAC-Änderungen im Azure-Aktivitätsprotokoll • Azure-Aktivitätsprotokoll-API • Überprüfungen mit Ereigniskategorie Administrative und Vorgang Create role assignment, Delete role assignment, Create or update custom role definition, Delete custom role definition.Anzeigen von Zugriffsprotokollen mit erhöhten Rechten im Azure-Aktivitätsprotokoll auf Mandantenebene • Azure-Aktivitätsprotokoll-API – Mandantenaktivitätsprotokolle • Überprüfungen mit Ereigniskategorie Administrative und enthaltenden Zeichenfolgen elevateAccess.• Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden. |
Commerce
Dienstleistungen im Zusammenhang mit Einkauf und Abrechnung.
Kostenmanagement und Abrechnung – Enterprise Agreements
| Bereich | Inhalt |
|---|---|
| Übersicht | Verwalten von Azure Enterprise Agreement-Rollen |
| Referenz zur Verwaltungs-API | Enterprise Agreements-spezifische Rollen in Microsoft Entra ID Enterprise Agreements unterstützt keine Microsoft Entra-Rollen. Enterprise Agreements-spezifische Rollen API für Abrechnungsrollenzuweisungen • Enterprise-Admin (Rollen-ID: 9f1983cb-2574-400c-87e9-34cf8e2280db) • Enterprise-Admin (schreibgeschützt) (Rollen-ID: 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e) • EA-Einkäufer (Rollen-ID: da6647fb-7651-49ee-be91-c43c4877f0c4) API für Rollenzuweisungen der Registrierungsabteilung • Abteilungsadmin (Rollen-ID: fb2cf67f-be5b-42e7-8025-4683c668f840) • Abteilungsleser (Rollen-ID: db609904-a47f-4794-9be8-9bd86fbffd8a) API für Rollenzuweisungen des Registrierungskontos • Kontobesitzer (Rollen-ID: c15c22c0-9faf-424c-9b7e-bd91c06a240b) |
| Verweis zu Überwachung und Monitoring | Enterprise Agreements-spezifische Rollen Azure Activity Log API – Mandantenaktivitätsprotokolle • Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden. • Überprüfungen, bei denen „resourceProvider == Microsoft.Billing“ und „operationName contains billingRoleAssignments or EnrollmentAccount“ ist |
Kostenmanagement und Abrechnung – Microsoft-Kundenvereinbarungen
| Bereich | Inhalt |
|---|---|
| Übersicht | Grundlegendes zu Verwaltungsrollen für Microsoft-Kundenvereinbarungen in Azure Grundlegendes zu Ihrem Microsoft Business-Abrechnungskonto |
| Referenz zur Verwaltungs-API | Microsoft-Kundenvereinbarungs-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Die folgenden Rollen verfügen über Berechtigungen: Abrechnungsadministrator, globaler Administrator. Microsoft-Kundenvereinbarungs-spezifische Rollen Standardmäßig werden den Rollen „globaler Microsoft Entra-Administrator“ und „Abrechnungsadministrator“ automatisch die Rolle „Abrechnungskontobesitzer“ in der für Microsoft-Kundenvereinbarungen spezifischen RBAC zugewiesen. • API für Abrechnungsrollenzuweisungen |
| Verweis zu Überwachung und Monitoring | Microsoft-Kundenvereinbarungs-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieMicrosoft-Kundenvereinbarungs-spezifische Rollen Azure Activity Log API – Mandantenaktivitätsprotokolle • Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden. • Überprüfungen, bei denen „resourceProvider == Microsoft.Billing“ und „operationName“ einer der folgenden Werte ist (alle mit vorangestelltem Microsoft.Billing):/permissionRequests/write/billingAccounts/createBillingRoleAssignment/action/billingAccounts/billingProfiles/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action/billingAccounts/customers/createBillingRoleAssignment/action/billingAccounts/billingRoleAssignments/write/billingAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/billingRoleAssignments/delete/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete/billingAccounts/departments/billingRoleAssignments/write/billingAccounts/departments/billingRoleAssignments/delete/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action/billingAccounts/enrollmentAccounts/billingRoleAssignments/write/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action/billingAccounts/billingProfiles/invoiceSections/transfers/delete/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action/billingAccounts/billingProfiles/invoiceSections/transfers/write/transfers/acceptTransfer/action/transfers/accept/action/transfers/decline/action/transfers/declineTransfer/action/billingAccounts/customers/initiateTransfer/action/billingAccounts/customers/transfers/delete/billingAccounts/customers/transfers/cancel/action/billingAccounts/customers/transfers/write/billingAccounts/billingProfiles/invoiceSections/products/transfer/action/billingAccounts/billingSubscriptions/elevateRole/action |
Geschäftsabonnements und Abrechnung – Volumenlizenzierung
| Bereich | Inhalt |
|---|---|
| Übersicht | Verwalten von Volumenlizenzierungsbenutzerrollen – Häufig gestellte Fragen |
| Referenz zur Verwaltungs-API | Volumenlizenzierungs-spezifische Rollen in Microsoft Entra-ID Volumenlizenzierung unterstützt keine Microsoft Entra-Rollen. Volumenlizenzierungs-spezifische Rollen VL-Benutzende und -Rollen werden im M365 Admin Center verwaltet. |
Partner Center
| Bereich | Inhalt |
|---|---|
| Übersicht | Rollen, Berechtigungen und Arbeitsbereichszugriff für Benutzende |
| Referenz zur Verwaltungs-API | Partner Center-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Die folgenden Rollen verfügen über Berechtigungen: globaler Administrator, Benutzeradministrator. Partner Center-spezifische Rollen Partner Center-spezifische Rollen können nur über Partner Center verwaltet werden. |
| Verweis zu Überwachung und Monitoring | Partner Center-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Sonstige Dienste
Azure DevOps
| Bereich | Inhalt |
|---|---|
| Übersicht | Informationen zu Berechtigungen und Sicherheitsgruppen |
| Referenz zur Verwaltungs-API | Azure DevOps-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.azure.devOps beginnen.Azure DevOps-spezifische Rollen Erstellen/Lesen/Aktualisieren/Löschen von Berechtigungen, die über die Rollenzuweisunges-API gewährt werden • Anzeigen von Berechtigungen von Rollen mit der Rollenbeschreibungs-API • Berechtigungsreferenzthema • Wenn einer Rolle eine Azure DevOps-Gruppe (Hinweis: nicht zu verwechseln mit der Microsoft Entra-Gruppe) zugewiesen ist, können Sie Gruppenmitgliedschaften mit der Mitgliedschafts-API erstellen/lesen/aktualisieren/löschen. |
| Verweis zu Überwachung und Monitoring | Azure DevOps-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-KategorieAzure DevOps-spezifische Rollen • Zugreifen auf das AzureDevOps-Überwachungsprotokoll • Verweis zur Überwachungs-API • AuditId-Verweis • Überprüfungen mit ActionId Security.ModifyPermission, Security.RemovePermission• Für Änderungen an Gruppen, die Rollen zugewiesen sind, Überprüfungen mit ActionId Group.UpdateGroupMembership, Group.UpdateGroupMembership.Add, Group.UpdateGroupMembership.Remove |
Fabric
Enthält Fabric und Power BI.
| Bereich | Inhalt |
|---|---|
| Übersicht | Grundlegendes zu Microsoft Fabric-Administratorrollen |
| Referenz zur Verwaltungs-API | Fabric-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 roleManagement-API • Verwenden Sie directory-Anbieter• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.powerApps.powerBI beginnen. |
| Verweis zu Überwachung und Monitoring | Fabric-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überwachungen mit der RoleManagement-Kategorie |
Unified Support-Portal für die Verwaltung von Kundensupportfällen
Umfasst Unified Support-Portal und Services Hub.
| Bereich | Inhalt |
|---|---|
| Übersicht | Rollen und Berechtigungen von Services Hub |
| Referenz zur Verwaltungs-API | Verwalten Sie diese Rollen im Services Hub-Portal, https://serviceshub.microsoft.com. |
Microsoft Graph-Anwendungsberechtigungen
Zusätzlich zu den zuvor erwähnten RBAC-Systemen können erhöhte Berechtigungen für Microsoft Entra-Anwendungsregistrierungen und Dienstprinzipale mithilfe von Anwendungsberechtigungen erteilt werden. Beispielsweise kann einer nicht interaktiven, nicht menschlichen Anwendungsidentität die Berechtigung erteilt werden, alle E-Mails in einem Mandanten zu lesen (die Mail.Read-Anwendungsberechtigung). In der folgenden Tabelle wird beschrieben, wie Anwendungsberechtigungen verwaltet und überwacht werden.
| Bereich | Inhalt |
|---|---|
| Übersicht | Übersicht über Microsoft Graph-Berechtigungen |
| Referenz zur Verwaltungs-API | Microsoft Graph-spezifische Rollen in Microsoft Entra ID Microsoft Graph v1.0 servicePrincipal-API • Zählen Sie die appRoleAssignments für jeden servicePrincipal im Mandanten auf. • Rufen Sie für jede „appRoleAssignment“ Informationen über die durch die Zuweisung gewährten Berechtigungen ab, indem Sie die „appRole“-Eigenschaft des „servicePrincipal“-Objekts lesen, das durch „resourceId“ und „appRoleId“ in der „appRoleAssignment“ referenziert wird. • Von besonderem Interesse sind App-Berechtigungen für Microsoft Graph (servicePrincipal with appID == "00000003-0000-0000-c000-000000000000"), die Zugriff auf Exchange, SharePoint, Teams usw. gewähren. Hier ist ein Verweis auf Microsoft Graph-Berechtigungen. • Weitere Informationen finden Sie unter Microsoft Entra Security Operations für Anwendungen. |
| Verweis zu Überwachung und Monitoring | Microsoft Graph-spezifische Rollen in Microsoft Entra ID Microsoft Entra-Aktivitätsprotokoll-Überblick API-Zugriff auf Microsoft Entra-Überwachungsprotokolle: • Microsoft Graph v1.0 directoryAudit-API • Überprüfungen mit Kategorie ApplicationManagement und Aktivitätsname Add app role assignment to service principal |