Berechtigungen in Exchange Online
Globale Rollen in Microsoft Entra ID ermöglichen es Ihnen, Berechtigungen und den Zugriff auf Funktionen in microsoft 365 zu verwalten, zu dem auch Exchange Online gehört. Weitere Informationen finden Sie unter Microsoft Entra-Berechtigungen.
Wenn Sie jedoch Berechtigungen und Funktionen auf Features in Exchange Online beschränken müssen, können Sie Exchange Online-Berechtigungen im Exchange Admin Center (EAC) und in Exchange Online PowerShell zuweisen.
Um Exchange Online-Berechtigungen im EAC zu verwalten, wechseln Sie zu Rollen>Administratorrollen oder direkt zur Seite Administratorrollen unter https://admin.exchange.microsoft.com/#/adminRoles.
Sie müssen Mitglied der Rollengruppe Organisationsverwaltung in Exchange Online sein. Insbesondere ermöglicht die Rollenverwaltung in Exchange Online Benutzern das Anzeigen, Erstellen und Ändern von Exchange Online-Rollengruppen. Standardmäßig wird diese Rolle nur der Rollengruppe Organisationsverwaltung zugewiesen.
Exchange Online enthält einen großen Satz vordefinierter Berechtigungen, die auf dem RBAC-Berechtigungsmodell (Role Based Access Control) basieren und die Sie sofort verwenden können, um Ihren Administratoren und Benutzern problemlos Berechtigungen zu erteilen. Sie können die Berechtigungsfeatures in Exchange Online verwenden, um Ihre neue Organisation schnell in Betrieb zu nehmen.
Tipp
Durch die Verwaltung von Berechtigungen in Exchange Online können Benutzer auf Features im EAC und in Exchange Online PowerShell zugreifen. Informationen zum Erteilen von Berechtigungen für andere Features, z. B. Compliancefeatures im Microsoft Purview-Complianceportal oder Sicherheitsfeatures im Microsoft Defender-Portal, finden Sie in den folgenden Artikeln:
- Berechtigungen im Microsoft Purview-Complianceportal
- Microsoft Defender für Office 365-Berechtigungen im Microsoft Defender-Portal
Mehrere erweiterte RBAC-Features und -Konzepte werden in diesem Artikel nicht behandelt. Wenn die in diesem Artikel beschriebene Funktionalität Nicht Ihren Anforderungen entspricht und Sie Ihr Berechtigungsmodell weiter anpassen möchten, finden Sie weitere Informationen unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Rollenbasierte Berechtigungen
Exchange Online-Berechtigungen basieren auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten und Exchange Server verwendet wird. Wenn Sie also mit der Berechtigungsstruktur in diesen Diensten vertraut sind, sollte das Erteilen von Berechtigungen in Exchange Online vertraut sein.
Eine Rolle oder Verwaltungsrolle gewährt die Berechtigungen zum Ausführen einer Reihe von Aufgaben. Exchange Online-Berechtigungen verwenden die folgenden Rollentypen:
- Administratorrollen: Definiert die Aufgaben, die ein Administrator ausführen kann. Wenn einer Rollengruppe eine Administratorrolle zugewiesen wird und ein Administrator oder Benutzer Mitglied dieser Rollengruppe ist, werden dieser Person die von der Rolle bereitgestellten Berechtigungen gewährt. Diese Rollen werden in diesem Artikel aufgeführt und beschrieben.
- Endbenutzerrollen: Diese Rollen, die mithilfe von Rollenzuweisungsrichtlinien zugewiesen werden, ermöglichen es Benutzern, Aspekte ihres eigenen Postfachs und ihrer Verteilergruppen zu verwalten. Endbenutzerrollen beginnen mit dem Präfix
My. Weitere Informationen finden Sie im Abschnitt weiter unten in diesem Artikel. - Anwendungsrollen: Diese Rollennamen, die mit "Anwendung" beginnen oder enden, sind Teil der RBAC für Anwendungen in Exchange Online. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Anwendungen in Exchange Online.
Rollen erteilen Benutzern Berechtigungen zum Ausführen von Aufgaben, indem Sie Exchange Online-Cmdlets benutzern zur Verfügung stellen. Da das EAC und Exchange Online PowerShell Cmdlets zum Verwalten von Exchange Online verwenden, erhält der Administrator oder Benutzer durch das Gewähren des Zugriffs auf ein Cmdlet die Berechtigung, die Aufgabe in einer der Exchange Online-Verwaltungsschnittstellen auszuführen.
Eine Rollengruppe erleichtert das Zuweisen von Rollen zu Administratoren. Beim Zuweisen einer Rolle zu einer Rollengruppe werden die Berechtigungen der Rolle allen Mitgliedern der Rollengruppe erteilt. Exchange Online-Berechtigungen umfassen Standardrollengruppen für die gängigsten Aufgaben und Funktionen, die Sie zuweisen müssen. Sie können auch eine benutzerdefinierte Rollengruppe erstellen. Es wird empfohlen, einzelne Benutzer als Mitglieder zu den Standardrollengruppen oder benutzerdefinierten Rollengruppen hinzuzufügen, anstatt Benutzern Rollen direkt zuzuweisen. Rollengruppenmitglieder können Exchange Online-Benutzer und andere Rollengruppen sein.
Durch das Hinzufügen von Benutzern zu Exchange Online-Rollengruppen erhalten Benutzer in Exchange Online Administratorrechte, ohne sie microsoft Entra-Rollen hinzuzufügen. Benutzer erhalten die von der Rollengruppe in Exchange Online gewährten Berechtigungen nur ohne Berechtigung für andere Microsoft 365-Features oder -Workloads.
Im weiteren Verlauf dieses Artikels werden die Administratorrollen und Rollengruppen in Exchange Online beschrieben.
Tipp
Eine Rollenzuweisungsrichtlinie ist ein Typ von Rollengruppe, der zum Zuweisen von Endbenutzerrollen zu Benutzern verwendet wird. Weitere Informationen finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
Rollengruppen in Exchange Online
In der Tabelle in diesem Abschnitt sind die standardmäßigen Administratorrollengruppen aufgeführt, die in Exchange Online verfügbar sind, und die Rollen, die den Rollengruppen standardmäßig zugewiesen sind. Um einem Benutzer Berechtigungen zum Ausführen von Aufgaben in Exchange Online zu erteilen, fügen Sie sie der entsprechenden Rollengruppe hinzu.
Wenn Sie in einer kleinen Organisation arbeiten, die nur über wenige Administratoren verfügt, müssen Sie diese Administratoren möglicherweise nur der Rollengruppe Organisationsverwaltung hinzufügen, und Sie müssen möglicherweise nie die anderen Rollengruppen verwenden. Wenn Sie in einer größeren Organisation arbeiten, verfügen Sie möglicherweise über Administratoren, die bestimmte Aufgaben bei der Verwaltung von Exchange Online ausführen, z. B. die Empfängerkonfiguration. In diesen Fällen können Sie der Rollengruppe Empfängerverwaltung einen Administrator und der Rollengruppe Organisationsverwaltung einen weiteren Administrator hinzufügen. Diese Administratoren können dann ihre spezifischen Bereiche von Exchange Online verwalten, aber sie verfügen nicht über Berechtigungen zum Verwalten von Bereichen, für die sie nicht verantwortlich sind.
Wenn die integrierten Rollengruppen in Exchange Online nicht mit der Auftragsfunktion Ihrer Administratoren übereinstimmen, können Sie Rollengruppen erstellen und ihnen Rollen hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.
Tipp
Sofern nicht anders angegeben, werden die gleichen Rollengruppen und Rollenzuweisungen im eigenständigen Exchange Online Protection verwendet.
| Rollengruppe | Beschreibung | Zugewiesene Standardrollen |
|---|---|---|
| Kommunikationscompliance | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung |
| Kommunikationscomplianceadministratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance-Administrator |
| Complianceadministrator | Verwalten Sie Einstellungen für die Geräteverwaltung, die Verhinderung von Datenverlust, Berichte und die Aufbewahrung. | Kommunikationscompliance-Administrator Insider-Risikomanagementadministrator |
| Complianceverwaltung | Mitglieder können Konformitätseinstellungen in Exchange gemäß ihren Richtlinien konfigurieren und verwalten. | Überwachungsprotokolle Complianceadministrator Verhinderung von Datenverlust Verwaltung von Informationsrechten Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Discoveryverwaltung | Mitglieder können in der Exchange Online-Organisation nach Daten suchen, die bestimmte Kriterien erfüllen, und auch gesetzliche Aufbewahrungspflichten für Postfächer konfigurieren. | Rechtliche Aufbewahrungspflicht Postfachsuche |
| ExchangeServiceAdmins_ eindeutiger< Wert>¹ | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe in Exchange Online nicht verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Sie ist jedoch Mitglied der Rollengruppe "Organisationsverwaltung" (als Exchange-Dienstadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer der Microsoft Entra ID Exchange-Administratorrolle im Microsoft 365 Admin Center hinzufügen. |
n/v |
| Helpdesk | Mitglieder können die Konfiguration für einzelne Empfänger und Empfänger in einer Exchange-Organisation anzeigen und verwalten. Mitglieder dieser Rollengruppe können nur die Konfiguration verwalten, die jeder Benutzer für sein eigenes Postfach verwalten kann. | Kennwort zurücksetzen Benutzeroptionen Schreibgeschützte Empfänger |
| Nachrichtenschutz | Mitglieder können Exchange-Antispamfunktionen verwalten, Berechtigungen für Antivirenprodukte für die Integration in Exchange erteilen und Nachrichtenflussregeln verwalten. | Transporthygiene Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Informationsschutz | Vollständige Kontrolle über alle Information Protection-Features, einschließlich Vertraulichkeitsbezeichnungen und deren Richtlinien, DLP, alle Klassifizierertypen, Aktivitäts- und Inhalts-Explorer und alle zugehörigen Berichte. | Information Protection-Administrator Information Protection Analyst² Information Protection-Ermittler Information Protection-Leser |
| Information Protection-Administratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Information Protection-Administrator |
| Information Protection-Analysten | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Search-UnifiedAuditLog in Exchange Online. | Information Protection Analyst² |
| Information Protection-Ermittler | Durchsuchen des einheitlichen Überwachungsprotokolls | Information Protection-Ermittler |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Information Protection-Leser |
| Insider-Risikomanagement | Verwalten sie die Zugriffssteuerung für das Insider-Risikomanagement. | Insider-Risikomanagementadministrator Untersuchung des Insider-Risikomanagements |
| Insider-Risikomanagement-Administratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Insider-Risikomanagementadministrator |
| Insider-Risikomanagement-Prüfer | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Untersuchung des Insider-Risikomanagements |
| Organisationsverwaltung | Mitglieder haben Administratorzugriff auf die gesamte Exchange Online-Organisation und können nahezu jede Aufgabe in Exchange Online ausführen. Wichtig: Da die Rollengruppe "Organisationsverwaltung" eine leistungsstarke Rolle ist, sollten nur Benutzer, die administrative Aufgaben auf Organisationsebene ausführen, die sich potenziell auf die gesamte Exchange Online-Organisation auswirken können, Mitglieder dieser Rollengruppe sein. |
Überwachungsprotokolle Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung Complianceadministrator Verhinderung von Datenverlust Dynamische Verteilergruppen E-Mail-Adressrichtlinien Verbundfreigabe Information Protection-Administrator Information Protection Analyst² Information Protection-Ermittler Information Protection-Leser Verwaltung von Informationsrechten Insider-Risikomanagementadministrator Untersuchung des Insider-Risikomanagements Journaling Rechtliche Aufbewahrungspflicht E-Mail-aktivierte Öffentliche Ordner Erstellen von E-Mail-Empfängern E-Mail-Empfänger E-Mail-Tipps Nachrichtenverfolgung Migration Postfächer verschieben Benutzerdefinierte Apps einer Organisation Marketplace-Apps einer Organisation Organisationsclientzugriff Organisationskonfiguration Organisationstransporteinstellungen Datenschutzverwaltungsadministrator Untersuchung des Datenschutzmanagements Öffentliche Ordner Empfängerrichtlinien Remotedomänen und akzeptierte Domänen Kennwort zurücksetzen Aufbewahrungsverwaltung Rollenverwaltung Sicherheitsadministrator Erstellen und Mitgliedschaft von Sicherheitsgruppen Sicherheitsleseberechtigter TenantPlacesManagement Transporthygiene Transportregeln Benutzeroptionen Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Datenschutzverwaltung | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Datenschutzverwaltungsadministrator Untersuchung des Datenschutzmanagements |
| Datenschutzverwaltungsadministratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Datenschutzverwaltungsadministrator |
| Datenschutz-Management-Ermittler | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Untersuchung des Datenschutzmanagements |
| Empfängerverwaltung | Mitglieder haben Administratorzugriff zum Erstellen oder Ändern von Exchange Online-Empfängern innerhalb der Exchange Online-Organisation. | Dynamische Verteilergruppen Erstellen von E-Mail-Empfängern E-Mail-Empfänger Nachrichtenverfolgung Migration Postfächer verschieben Empfängerrichtlinien Kennwort zurücksetzen |
| Datensatzverwaltung | Mitglieder können Kompatibilitätsfeatures wie Aufbewahrungsrichtlinientags, Nachrichtenklassifizierungen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) konfigurieren. | Überwachungsprotokolle Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln |
| RIM-MailboxAdmins<GUID> | Nicht verwendet | ApplicationImpersonation |
| Sicherheitsadministrator | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe in Exchange Online nicht verwalten. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer zur Administratorrolle Microsoft Entra Security im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsadministrator SensitivityLabelAdministrator |
| Sicherheitsoperator | Verwalten von Sicherheitswarnungen und Anzeigen von Berichten und Einstellungen von Sicherheitsfeatures Mitglieder der Rolle "Sicherheitsoperator " in Microsoft Entra ID erhalten automatisch die Berechtigungen dieser Rollengruppe. |
Mandanten-AllowBlockList-Manager |
| Sicherheitsleseberechtigter | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe in Exchange Online nicht verwalten. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie benutzer zur Rolle Microsoft Entra Security-Leser im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsleseberechtigter |
| TenantAdmins_ eindeutiger< Wert> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe in Exchange Online nicht verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Es ist jedoch Mitglied der Rollengruppe Organisationsverwaltung (als Unternehmensadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Im Microsoft 365 Admin Center Benutzer zur Rolle "Globaler Microsoft Entra ID-Administrator" hinzufügen. Wichtig: Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können. |
n/v |
| Organisationsverwaltung mit Leserechten | Mitglieder können die Eigenschaften eines beliebigen Objekts in der Exchange Online-Organisation anzeigen. | Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
¹ Diese Rollengruppe ist in eigenständigem Exchange Online Protection nicht verfügbar.
² Standardmäßig wird dieser Rolle keine Rollengruppe im eigenständigen Exchange Online Protection zugewiesen.
Rollen in Exchange Online
In der Tabelle in diesem Abschnitt sind die verfügbaren Administratorrollen und die Rollengruppen aufgeführt, denen sie standardmäßig zugewiesen sind.
Rollen, die der Rollengruppe "Organisationsverwaltung " nicht standardmäßig zugewiesen sind, sind mit gekennzeichnet. *
Tipp
- Rollennamen, die mit dem Präfix "My" beginnen (z. B. MyContactInformation), sind Endbenutzerrollen. Endbenutzerrollen werden Benutzern in Rollenzuweisungsrichtlinien zugewiesen, mit denen Benutzer mit Objekten arbeiten können, die sie besitzen (z. B. ihr eigenes Konto oder von ihnen erstellte Verteilergruppen). Weitere Informationen finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
- Rollennamen, die mit "Application" beginnen oder enden, sind Teil der RBAC für Anwendungen in Exchange Online. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Anwendungen in Exchange Online.
- Viele der compliancebezogenen Rollen, die auch in Microsoft Purview Compliance und Microsoft Entra verfügbar sind, bieten in Exchange Online selbst nicht viele Funktionen.
- Sofern nicht anders angegeben, werden dieselben Rollen und Rollengruppenzuweisungen in eigenständigem Exchange Online Protection verwendet.
| Rolle | Beschreibung | Standardrollengruppenzuweisungen |
|---|---|---|
| Adresslisten* | Ermöglicht Administratoren das Verwalten von Adresslisten, globalen Adresslisten und Offlineadresslisten in einer Organisation. | Keine |
| Überwachungsprotokolle | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Kommunikationscompliance-Administrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance Kommunikationscomplianceadministratoren Complianceadministrator Organisationsverwaltung |
| Kommunikationscompliance-Untersuchung | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance Organisationsverwaltung |
| Complianceadministrator | Ermöglicht Benutzern das Anzeigen und Bearbeiten von Einstellungen und Berichten für Kompatibilitätsfeatures. | Complianceverwaltung Organisationsverwaltung |
| Verhinderung von Datenverlust | Diese Rolle bezieht sich auf die älteren Einstellungen zur Verhinderung von Datenverlust (DLP) in der Organisation für die Nachrichtenflussregel (Transportregel). Diese Rolle ermöglicht den Zugriff auf die Verwaltung von Berichts- und Nachrichtenflussregeln in Exchange Online. | Complianceverwaltung Organisationsverwaltung |
| Dynamische Verteilergruppen | Erstellen und verwalten Sie alle Verteilergruppen, E-Mail-aktivierten Sicherheitsgruppen und Mitglieder. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Adressrichtlinien | Ermöglicht Administratoren das Verwalten von E-Mail-Adressrichtlinien in einer Organisation. | Organisationsverwaltung |
| Verbundfreigabe | Ermöglicht Es Administratoren, die gesamtstruktur- und organisationsübergreifende Freigabe in einer Organisation zu verwalten. | Organisationsverwaltung |
| Information Protection-Administrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Informationsschutz Information Protection-Administratoren Organisationsverwaltung |
| Information Protection-Analyst | Diese Rolle gewährt Zugriff auf das Cmdlet Search-UnifiedAuditLog in Exchange Online. | Informationsschutz Information Protection Analysts¹ Organisationsverwaltung |
| Information Protection-Ermittler | Durchsuchen Sie das einheitliche Überwachungsprotokoll. | Informationsschutz Information Protection-Ermittler Organisationsverwaltung |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Informationsschutz Information Protection-Leser Organisationsverwaltung |
| Verwaltung von Informationsrechten | Verwalten sie die IRM-Funktionen (Information Rights Management) von Exchange in einer Organisation. | Complianceverwaltung Organisationsverwaltung |
| Insider-Risikomanagementadministrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Complianceadministrator Insider-Risikomanagement Insider-Risikomanagement-Administratoren Organisationsverwaltung |
| Untersuchung des Insider-Risikomanagements | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Insider-Risikomanagement Insider-Risikomanagement-Prüfer Organisationsverwaltung |
| Journaling | Ermöglicht Administratoren das Verwalten der Journalkonfiguration in einer Organisation. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rechtliche Aufbewahrungspflicht | Ermöglicht Administratoren zu konfigurieren, ob Daten in einem Postfach für Rechtsstreitigkeitszwecke in einer Organisation aufbewahrt werden sollen. | Discoveryverwaltung Organisationsverwaltung |
| E-Mail-aktivierte Öffentliche Ordner | Ermöglicht Administratoren das Konfigurieren, ob einzelne öffentliche Ordner in einer Organisation E-Mail-aktiviert oder E-Mail-deaktiviert sind. | Organisationsverwaltung |
| Erstellen von E-Mail-Empfängern | Erstellen und Entfernen von E-Mail-Benutzern und E-Mail-Kontakten. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Empfänger | Ändern vorhandener E-Mail-Benutzer und E-Mail-Kontakte. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Tipps | Ermöglicht Administratoren das Verwalten von E-Mail-Info-Einstellungen in einer Organisation. | Organisationsverwaltung |
| Postfachimportexport* | Ermöglicht Administratoren das Importieren und Exportieren von Postfachinhalten. | Keine |
| Postfachsuche* | Ermöglicht Administratoren das Durchsuchen des Inhalts eines oder mehrerer Postfächer in einer Organisation. | Discoveryverwaltung |
| Nachrichtenverfolgung | Ermöglicht Administratoren das Nachverfolgen von Nachrichten in einer Organisation. | Complianceverwaltung Organisationsverwaltung Empfängerverwaltung Datensatzverwaltung |
| Migration | Ermöglicht Administratoren das Migrieren von Postfächern und Postfachinhalten in oder aus einer Organisation. | Organisationsverwaltung Empfängerverwaltung |
| Postfächer verschieben | Ermöglicht Administratoren das Verschieben von Postfächern. | Organisationsverwaltung Empfängerverwaltung |
| O365SupportViewConfig* | Nicht verwendet | Keine |
| Benutzerdefinierte Apps einer Organisation | Ermöglicht Benutzern das Anzeigen und Ändern ihrer benutzerdefinierten Organisations-Apps. | Organisationsverwaltung |
| Marketplace-Apps einer Organisation | Ermöglicht Benutzern das Anzeigen und Ändern ihrer Marketplace-Apps ihrer Organisation. | Organisationsverwaltung |
| Organisationsclientzugriff | Ermöglicht Administratoren das Verwalten von Clientzugriffseinstellungen in einer Organisation. | Organisationsverwaltung |
| Organisationskonfiguration | Ermöglicht Administratoren das Verwalten organisationsweiter Einstellungen. | Organisationsverwaltung |
| Organisationstransporteinstellungen | Ermöglicht Administratoren die Verwaltung von Hybrid- und organisationsweiten E-Mail-Transporteinstellungen. | Organisationsverwaltung |
| Datenschutzverwaltungsadministrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Organisationsverwaltung Datenschutzverwaltung Datenschutzverwaltungsadministratoren |
| Untersuchung des Datenschutzmanagements | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Organisationsverwaltung Datenschutzverwaltung Datenschutz-Management-Ermittler |
| Öffentliche Ordner | Ermöglicht Administratoren das Verwalten öffentlicher Ordner in einer Organisation. | Organisationsverwaltung |
| Empfängerrichtlinien | Ermöglicht Administratoren das Verwalten von Empfängerrichtlinien (Authentifizierungsrichtlinien, Datenverschlüsselungsrichtlinien für mobile Geräte und Outlook im Web-Postfachrichtlinien) in einer Organisation. | Organisationsverwaltung Empfängerverwaltung |
| Remotedomänen und akzeptierte Domänen | Verwalten von Remotedomänen, akzeptierten Domänen und Connectors. | Organisationsverwaltung |
| Kennwort zurücksetzen | Ermöglicht Administratoren das Festlegen von Kennwörtern für Raumpostfächer. | Helpdesk Organisationsverwaltung Empfängerverwaltung |
| Aufbewahrungsverwaltung | Ermöglicht Benutzern die Verwaltung von Aufbewahrungsrichtlinien. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rollenverwaltung | Ermöglicht Administratoren das Verwalten von Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträgen, Zuweisungen und Bereichen in einer Organisation. | Organisationsverwaltung |
| Sicherheitsadministrator | Verwalten Der Konfiguration und der Berichte für alle Sicherheits- und Schutzfeatures. | Organisationsverwaltung Sicherheitsadministrator |
| Erstellen und Mitgliedschaft von Sicherheitsgruppen | Erstellen und Verwalten von E-Mail-aktivierten Sicherheitsgruppen. | Organisationsverwaltung |
| Sicherheitsleseberechtigter | Zeigen Sie die Konfiguration und berichte für Sicherheits- und Schutzfeatures an. | Organisationsverwaltung Sicherheitsleseberechtigter |
| SensitivityLabelAdministrator* | Ermöglicht Benutzern das Bearbeiten von Vertraulichkeitsbezeichnungseigenschaften. | Sicherheitsadministrator |
| Mandanten-AllowBlockList-Manager* | Ermöglicht Benutzern die Verwaltung der Mandantenliste für Zulassungs-/Sperrungslisten. | Sicherheitsoperator |
| TenantPlacesManagement | Ermöglicht Es Benutzern, Einstellungen für Microsoft Places zu verwalten. | Organisationsverwaltung |
| Transporthygiene | Verwalten von Antischadsoftware, Antispamfunktionen und Anti-Spoofing-Features. | Nachrichtenschutz Organisationsverwaltung |
| Transportregeln | Erstellen und Verwalten von Nachrichtenflussregeln (auch als Transportregeln bezeichnet). | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Benutzeroptionen | Ermöglicht Administratoren das Anzeigen der Outlook-Im-Web-Optionen von Benutzern in der Organisation. | Helpdesk Organisationsverwaltung |
| Überwachungsprotokolle nur anzeigen | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung |
| Schreibgeschützte Konfiguration | Zeigen Sie alle Organisations- und Nachrichtenflusseinstellungen (nicht empfängerlos) in der Organisation an. | Complianceverwaltung Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
| Schreibgeschützte Empfänger | Anzeigen von Empfängereigenschaften und Ausführen der Nachrichtenablaufverfolgung. | Complianceverwaltung Helpdesk Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
¹ Standardmäßig wird diese Rolle keinem Rollengruppen im eigenständigen Exchange Online Protection zugewiesen.
Microsoft 365-Berechtigungen in Exchange Online
Wenn Sie einen Benutzer im Microsoft 365 Admin Center erstellen, können Sie auswählen, ob dem Benutzer verschiedene Microsoft Entra-Rollen (z. B. Exchange-Administrator oder globaler Leser) zugewiesen werden sollen. Die meisten Microsoft Entra-Rollen gewähren dem Benutzer administratorrechte in Exchange Online.
Hinweis
Das Konto, das Sie zum Erstellen Ihrer Exchange Online-Organisation verwendet haben, wird automatisch der Rolle "Globaler Administrator" zugewiesen.
In der folgenden Tabelle sind die Microsoft Entra-Rollen und die Exchange Online-Rollengruppen aufgeführt, denen sie entsprechen. Weitere Informationen zu diesen Rollen finden Sie unter Microsoft Entra-Berechtigungen.
| Microsoft Entra-Rolle | Exchange Online-Rollengruppe |
|---|---|
| Globaler Administrator | Organisationsverwaltung Hinweis: Die Rolle "Globaler Administrator" und die Rollengruppe "Organisationsverwaltung" sind über eine spezielle Rollengruppe "Unternehmensadministrator" miteinander verbunden. Die Rollengruppe "Unternehmensadministrator" wird intern verwaltet und kann nicht direkt geändert werden. |
| Exchange-Administrator | Organisationsverwaltung |
| Globaler Leser | Organisationsverwaltung mit Leserechten |
| Helpdesk-Administrator | Helpdesk |
| Dienst-Supportadministrator | Keine |
| SharePoint-Administrator | Keine |
| Teams-Administrator | Keine |
| Benutzeradministrator | Empfängerverwaltung |
| Erfolgs-Manager für die Benutzererfahrung | Keine |
Benutzern können Administratorrechte in Exchange Online gewährt werden, ohne sie microsoft Entra-Rollen hinzuzufügen, indem Sie den Benutzer als Mitglied einer Exchange Online-Rollengruppe hinzufügen. Der Benutzer erhält Berechtigungen in Exchange Online, aber er erhält keine Berechtigungen in anderen Microsoft 365-Workloads.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.