Berechtigungen in Exchange Online
Exchange Online in Microsoft 365 und Office 365 enthält einen großen Satz vordefinierter Berechtigungen, die auf dem Rollenbasierten Access Control-Berechtigungsmodell (Role Based Access Control, RBAC) basieren, das Sie sofort verwenden können, um Ihren Administratoren und Benutzern problemlos Berechtigungen zu erteilen. Mithilfe der Berechtigungsfunktionen in Exchange Online können Sie die Einrichtungs- und Bereitstellungsschritte einer neuen Organisation schnell ausführen.
RBAC ist auch das Berechtigungsmodell, das in Microsoft Exchange Server verwendet wird. Die meisten Links in diesem Thema beziehen sich auf Themen, die auf Exchange Server verweisen. Die Konzepte in diesen Themen gelten auch für Exchange Online.
Informationen zu Berechtigungen in Microsoft 365 oder Office 365 finden Sie unter Informationen zu Administratorrollen.
Hinweis
Verschiedene Funktionen und Konzepte der rollenbasierten Zugriffssteuerung werden in diesem Thema nicht behandelt, da es sich um erweiterte Funktionen handelt. Wenn Sie Ihre Anforderungen mit den in diesem Thema erläuterten Funktionen nicht erfüllen können und Ihr Berechtigungsmodell zusätzlich anpassen möchten, finden Sie unter Understanding Role Based Access Control weitere Informationen.
Rollenbasierte Berechtigungen
In Exchange Online basieren die Berechtigungen, die Administratoren und Benutzern erteilt werden können, auf Verwaltungsrollen. Eine Verwaltungsrolle definiert die Aufgaben, die ein Administrator oder Benutzer ausführen kann. Beispielsweise definiert eine Verwaltungsrolle namens Mail Recipients die Aufgaben, die jemand für eine Gruppe von Postfächern, Kontakten und Verteilergruppen ausführen kann. Wenn einem Administrator oder Benutzer eine Verwaltungsrolle zugewiesen wird, erhält dieser die von der Verwaltungsrolle bereitgestellten Berechtigungen.
Administratorrollen und Endbenutzerrollen sind die beiden Arten von Verwaltungsrollen. Es folgt eine Kurzbeschreibung der einzelnen Typen:
Administratorrollen: Diese Rollen enthalten Berechtigungen, die Administratoren oder spezialisierten Benutzern mithilfe von Rollengruppen zugewiesen werden können, die einen Teil der Exchange Online organization verwalten, z. B. Empfänger oder Complianceverwaltung.
Endbenutzerrollen: Diese Rollen, die mithilfe von Rollenzuweisungsrichtlinien zugewiesen werden, ermöglichen es Benutzern, Aspekte ihres eigenen Postfachs und ihrer Verteilergruppen zu verwalten. Endbenutzerrollen beginnen mit dem Präfix
My.
Verwaltungsrollen gewähren Berechtigungen für die Ausführung von Aufgaben für Administratoren und Benutzer durch die Bereitstellung von Cmdlets für diejenigen, denen die Rollen zugewiesen wurden. Da das Exchange Admin Center (EAC) und Exchange Online PowerShell Cmdlets verwenden, um Exchange Online zu verwalten, erhält der Administrator oder Benutzer durch das Gewähren des Zugriffs auf ein Cmdlet die Berechtigung, die Aufgabe in jeder der Exchange Online Verwaltungsschnittstellen auszuführen.
Exchange Online enthält Rollengruppen, die Sie zum Erteilen von Berechtigungen verwenden können. Weitere Informationen finden Sie im nächsten Abschnitt.
Hinweis
Einige Verwaltungsrollen stehen möglicherweise nur für lokale Exchange Server-Installationen bereit und sind in Exchange Online nicht verfügbar.
Rollengruppen und Rollenzuweisungsrichtlinien
Verwaltungsrollen gewähren Berechtigungen zum Ausführen von Aufgaben in Exchange Online, aber Sie benötigen eine einfache Möglichkeit, sie Administratoren und Benutzern zuzuweisen. Exchange Online bietet Ihnen Folgendes, um Ihnen bei der Erstellung von Zuweisungen zu helfen:
Rollengruppen: Mit Rollengruppen können Sie Administratoren und fachspezifischen Benutzern Berechtigungen erteilen.
Rollenzuweisungsrichtlinien: Mithilfe von Rollenzuweisungsrichtlinien können Sie Endbenutzern Berechtigungen zum Ändern von Einstellungen für ihr eigenes Postfach oder ihre Eigenen Verteilergruppen erteilen.
Die nachstehenden Abschnitten enthalten weitere Informationen zu Rollengruppen und Rollenzuweisungsrichtlinien.
Rollengruppen
Jedem Administrator, der Exchange Online verwaltet, muss mindestens eine Rolle zugewiesen werden. Da Administratoren möglicherweise Funktionen in mehreren Bereichen von Exchange Online ausführen, können sie über mehrere Rollen verfügen.
Um das Zuweisen mehrerer Rollen zu einem Administrator zu vereinfachen, enthält Exchange Online Rollengruppen. Beim Zuweisen einer Rolle zu einer Rollengruppe werden die Berechtigungen der Rolle allen Mitgliedern der Rollengruppe erteilt. So können Sie mehreren Rollengruppenmitgliedern gleichzeitig eine Vielzahl von Rollen zuweisen. Rollengruppen gelten typischerweise für umfassendere Verwaltungsbereiche, z. B. die Empfängerverwaltung. Sie werden ausschließlich mit Administratorrollen und nicht mit Endbenutzerrollen verwendet. Rollengruppenmitglieder können Exchange Online Benutzern und anderen Rollengruppen sein.
Hinweis
Eine Rolle kann einem Benutzer direkt und ohne Verwendung einer Rollengruppe zugewiesen werden. Diese Methode zur Rollenzuweisung ist jedoch ein erweitertes Verfahren, das in diesem Thema nicht behandelt wird. Es wird empfohlen, zur Verwaltung von Berechtigungen Rollengruppen einzusetzen.
Die folgende Abbildung zeigt die Beziehung zwischen Benutzern, Rollengruppen und Rollen.
Exchange Online umfasst eine Vielzahl von integrierten Rollengruppen, die jeweils Berechtigungen zum Verwalten bestimmter Bereiche in Exchange Online bieten. Bei einigen Rollengruppen gibt es möglicherweise Überschneidungen. In der folgenden Tabelle sind die einzelnen Rollengruppen sowie eine Beschreibung ihrer Verwendung aufgeführt.
| Rollengruppe | Beschreibung | Zugewiesene Standardrollen |
|---|---|---|
| Complianceverwaltung | Mitglieder können Konformitätseinstellungen in Exchange gemäß ihren Richtlinien konfigurieren und verwalten. | Überwachungsprotokolle Compliance-Admin Verhinderung von Datenverlust Verwaltung von Informationsrechten Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Discoveryverwaltung | Mitglieder können Postfächer im Exchange Online organization nach Daten durchsuchen, die bestimmte Kriterien erfüllen, und auch gesetzliche Aufbewahrungspflichten für Postfächer konfigurieren. | Rechtliche Aufbewahrungspflicht Postfachsuche |
| ExchangeServiceAdmins_ eindeutiger< Wert> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Sie ist jedoch Mitglied der Rollengruppe "Organisationsverwaltung" (als Exchange-Dienstadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie Benutzer zur Exchange-Administratorrolle Microsoft Entra ID im Microsoft 365 Admin Center hinzufügen. |
n/v |
| Helpdesk | Mitglieder können die Konfiguration für einzelne Empfänger anzeigen und verwalten und Empfänger in einem Exchange-organization anzeigen. Mitglieder dieser Rollengruppe können nur die Konfiguration verwalten, die jeder Benutzer für sein eigenes Postfach verwalten kann. | Kennwort zurücksetzen Benutzeroptionen Schreibgeschützte Empfänger |
| <HelpdeskAdmins_Unique-Wert> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Sie ist jedoch Mitglied der Rollengruppe View-Only Organisationsverwaltung (als Helpdeskadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer zur rolle Microsoft Entra Helpdeskadministrator im Microsoft 365 Admin Center hinzufügen. |
n/v |
| Nachrichtenschutz | Mitglieder können Exchange-Antispamfunktionen verwalten, Berechtigungen für Antivirenprodukte für die Integration in Exchange erteilen und Nachrichtenflussregeln verwalten. | Transporthygiene Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Organisationsverwaltung | Mitglieder haben Administratorzugriff auf die gesamte Exchange Online organization und können nahezu jede Aufgabe in Exchange Online ausführen. Standardmäßig werden die folgenden Verwaltungsrollen keiner Rollengruppe zugewiesen, einschließlich Organisationsverwaltung:
Standardmäßig wird die Rolle "Postfachsuche" nur der Rollengruppe "Ermittlungsverwaltung" zugewiesen. Wichtig: Da die Rollengruppe "Organisationsverwaltung" eine leistungsstarke Rolle ist, sollten nur Benutzer, die administrative Aufgaben auf Organisationsebene ausführen, die sich potenziell auf die gesamte Exchange Online organization auswirken können, Mitglieder dieser Rollengruppe sein. |
Überwachungsprotokolle Compliance-Admin Verhinderung von Datenverlust Dynamische Verteilergruppen E-Mail-Adressrichtlinien Verbundfreigabe Verwaltung von Informationsrechten Journaling Rechtliche Aufbewahrungspflicht E-Mail-aktivierte Öffentliche Ordner Erstellen von E-Mail-Empfängern E-Mail-Empfänger E-Mail-Tipps Nachrichtenverfolgung Migration Postfächer verschieben Benutzerdefinierte Apps einer Organisation Marketplace-Apps einer Organisation Organisationsclientzugriff Organisationskonfiguration Organisationstransporteinstellungen Öffentliche Ordner Empfängerrichtlinien Remotedomänen und akzeptierte Domänen Kennwort zurücksetzen Aufbewahrungsverwaltung Rollenverwaltung Sicherheitsadministrator Erstellen und Mitgliedschaft von Sicherheitsgruppen Sicherheitsleseberechtigter Teampostfächer Transporthygiene Transportregeln UM-Postfächer UM-Telefonansagen Unified Messaging Benutzeroptionen Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Empfängerverwaltung | Mitglieder haben Administratorzugriff, um Exchange Online Empfänger innerhalb des Exchange Online organization zu erstellen oder zu ändern. | Dynamische Verteilergruppen Erstellen von E-Mail-Empfängern E-Mail-Empfänger Nachrichtenverfolgung Migration Postfächer verschieben Empfängerrichtlinien Kennwort zurücksetzen Teampostfächer |
| Datensatzverwaltung | Mitglieder können Kompatibilitätsfeatures wie Aufbewahrungsrichtlinientags, Nachrichtenklassifizierungen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) konfigurieren. | Überwachungsprotokolle Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln |
| Sicherheitsadministrator | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer zur Administratorrolle Microsoft Entra Sicherheit im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsadministrator |
| Sicherheitsleseberechtigter | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie benutzer zur Rolle Microsoft Entra Sicherheitsleseberechtigter im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsleseberechtigter |
| TenantAdmins_ eindeutiger< Wert> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Es ist jedoch Mitglied der Rollengruppe Organisationsverwaltung (als Unternehmensadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie Benutzer zur rolle "Microsoft Entra-ID Globaler Administrator" im Microsoft 365 Admin Center hinzufügen. |
n/v |
| UM-Verwaltung | Mitglieder können Exchange Unified Messaging-Einstellungen (UM)-Einstellungen und -Features verwalten. | UM-Postfächer UM-Telefonansagen Unified Messaging |
| Organisationsverwaltung mit Leserechten | Member können die Eigenschaften jedes Objekts im Exchange Online organization anzeigen. | Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
Wenn Sie in einem kleinen organization mit nur wenigen Administratoren arbeiten, müssen Sie diese Administratoren möglicherweise nur der Rollengruppe Organisationsverwaltung hinzufügen, und Sie müssen die anderen Rollengruppen möglicherweise nie verwenden. Wenn Sie in einem größeren organization arbeiten, verfügen Sie möglicherweise über Administratoren, die bestimmte Aufgaben ausführen, um Exchange Online zu verwalten, z. B. die Empfängerkonfiguration. In diesen Fällen können Sie der Rollengruppe Empfängerverwaltung einen Administrator und der Rollengruppe Organisationsverwaltung einen weiteren Administrator hinzufügen. Diese Administratoren können dann ihre spezifischen Bereiche Exchange Online verwalten, aber sie haben keine Berechtigungen zum Verwalten von Bereichen, für die sie nicht verantwortlich sind.
Wenn die integrierten Rollengruppen in Exchange Online nicht für die Aufgabenbereiche Ihrer Administratoren geeignet sind, können Sie Rollengruppen erstellen und Rollen zu diesen Gruppen hinzufügen. Weitere Informationen finden Sie im Abschnitt Arbeiten mit Rollengruppen weiter unten in diesem Thema.
Rollenzuweisungsrichtlinien
Exchange Online bietet Richtlinien zur Rollenzuweisung, mit denen Sie steuern können, welche Einstellungen Benutzer für eigene Postfächer und Verteilergruppen konfigurieren können. Diese Einstellungen umfassen den Anzeigenamen, Kontaktinformationen, Voicemaileinstellungen und die Mitgliedschaft in Verteilergruppen.
Ihr Exchange Online organization kann über mehrere Rollenzuweisungsrichtlinien verfügen, die unterschiedliche Berechtigungsstufen für die verschiedenen Benutzertypen in Ihren Organisationen bereitstellen. Einige Benutzer können abhängig von der ihrem Postfach zugeordneten Rollenzuweisungsrichtlinie z. B. zum Ändern ihrer Adresse oder Erstellen von Verteilergruppen berechtigt sein, während andere Benutzer diese Aufgaben nicht ausführen dürfen. Rollenzuweisungsrichtlinien werden direkt zu Postfächern hinzugefügt, und jedem Postfach kann nur jeweils eine Rollenzuweisungsrichtlinie zugeordnet sein.
Eine Rollenzuweisungsrichtlinie in Ihrer Organisation ist als Standardrichtlinie gekennzeichnet. Die Standardrichtlinie für die Rollenzuweisung wird neuen Postfächern zugeordnet, denen bei der Erstellung nicht explizit eine Rollenzuweisungsrichtlinie zugeordnet wird. Die Standardrichtlinie für die Rollenzuweisung sollte die Berechtigungen umfassen, die dem Großteil Ihrer Postfächer erteilt werden sollen.
Berechtigungen werden über Endbenutzerrollen zu Rollenzuweisungsrichtlinien hinzugefügt. Endbenutzerrollen beginnen mit My und erteilen Benutzern Berechtigungen, nur ihr Postfach oder ihre Verteilergruppen zu verwalten. Sie können nicht zum Verwalten anderer Postfächer verwendet werden. Einer Rollenzuweisungsrichtlinie können nur Endbenutzerrollen zugewiesen werden.
Beim Zuweisen einer Endbenutzerrolle zu einer Rollenzuweisungsrichtlinie erhalten alle Postfächer, die dieser Rollenzuweisungsrichtlinie zugeordnet sind, die über die Rolle erteilten Berechtigungen. So können Sie Berechtigungen zu einer Gruppe von Benutzern hinzufügen oder von dieser Gruppe entfernen, ohne einzelne Postfächer konfigurieren zu müssen. Die Abbildung unten zeigt Folgendes:
Endbenutzerrollen werden Rollenzuweisungsrichtlinien zugewiesen. Rollenzuweisungsrichtlinien können dieselben Endbenutzerrollen gemeinsam verwenden. Ausführliche Informationen zu den Endbenutzerrollen, die in Exchange Online verfügbar sind, finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
Rollenzuweisungsrichtlinien werden Postfächern zugeordnet. Jedem Postfach kann nur eine Rollenzuweisungsrichtlinie zugeordnet werden.
Nachdem einem Postfach eine Rollenzuweisungsrichtlinie zugeordnet wurde, werden die Endbenutzerrollen auf das Postfach angewendet. Die über die Rollen erteilten Berechtigungen werden dem Benutzer des Postfachs zugewiesen.
Die Rollenzuweisungsrichtlinie "Standardrichtlinie für Rollenzuweisung" ist in Exchange Online enthalten. Wie der Name schon sagt, handelt es sich um die Standardrichtlinie für Rollenzuweisung. Informationen zum Ändern der mit dieser Rollenzuweisungsrichtlinie bereitgestellten Berechtigungen oder zum Erstellen von Rollenzuweisungsrichtlinien finden Sie unter Arbeiten mit Rollenzuweisungsrichtlinien weiter unten in diesem Thema.
Microsoft 365- oder Office 365-Berechtigungen in Exchange Online
Wenn Sie einen Benutzer in Microsoft 365 oder Office 365 erstellen, können Sie auswählen, ob dem Benutzer verschiedene Administratorrollen wie globaler Administrator, Dienstadministrator, Kennwortadministrator usw. zugewiesen werden sollen. Einige, aber nicht alle Microsoft 365- und Office 365-Rollen gewähren dem Benutzer Administratorberechtigungen in Exchange Online.
Hinweis
Der Benutzer, der zum Erstellen Ihres Microsoft 365 oder Office 365 organization verwendet wurde, wird automatisch der rolle globaler Administrator Microsoft 365 oder Office 365 zugewiesen.
In der folgenden Tabelle sind die Microsoft 365- oder Office 365-Rollen und die Exchange Online Rollengruppe aufgeführt, der sie entsprechen.
| Microsoft 365- oder Office 365-Rolle | Exchange Online-Rollengruppe |
|---|---|
| Globaler Administrator | Organisationsverwaltung Hinweis: Die rolle globaler Administrator und die Rollengruppe Organisationsverwaltung sind über eine spezielle Rollengruppe des Unternehmensadministrators miteinander verbunden. Die Unternehmensadministrator-Rollengruppe wird intern von Exchange Online verwaltet und kann nicht direkt geändert werden. |
| Abrechnungsadministrator | Keine entsprechende Exchange Online-Rollengruppe. |
| Kennwort-Administrator | Help Desk-Administrator. |
| Service-Administrator | Keine entsprechende Exchange Online-Rollengruppe. |
| Benutzerverwaltungsadministrator | Keine entsprechende Exchange Online-Rollengruppe. |
Eine Beschreibung der Exchange Online-Rollengruppen finden Sie in der Tabelle "Integrierte Rollengruppen" in Rollengruppen.
Wenn Sie in Microsoft 365 oder Office 365 einen Benutzer entweder der Rolle "globaler Administrator" oder "Kennwortadministrator" hinzufügen, werden dem Benutzer die Rechte gewährt, die von der entsprechenden Exchange Online Rollengruppe bereitgestellt werden. Andere Microsoft 365- oder Office 365-Rollen verfügen nicht über eine entsprechende Exchange Online Rollengruppe und gewähren keine Administratorberechtigungen in Exchange Online. Weitere Informationen zum Zuweisen einer Microsoft 365- oder Office 365-Rolle zu einem Benutzer finden Sie unter Zuweisen von Administratorrollen.
Benutzern können Administratorrechte in Exchange Online gewährt werden, ohne sie zu Microsoft 365- oder Office 365-Rollen hinzuzufügen. Hierzu wird der Benutzer als Mitglied einer Exchange Online-Rollengruppe hinzugefügt. Wird ein Benutzer direkt zu einer Exchange Online-Rollengruppe hinzugefügt, erhält dieser die von dieser Rolle in Exchange Online gewährten Berechtigungen. Sie erhalten jedoch keine Berechtigungen für andere Microsoft 365- oder Office 365-Komponenten. Er verfügt ausschließlich in Exchange Online über administrative Berechtigungen. Benutzer können allen in der Tabelle "Integrierte Rollengruppen" in Rollengruppen aufgeführten Rollengruppen hinzugefügt werden, mit Ausnahme der Rollengruppen "Unternehmensadministrator" und "Help Desk-Administrator". Weitere Informationen zum direkten Hinzufügen von Benutzern zu einer Exchange Online-Rollengruppe finden Sie unter Arbeiten mit Rollengruppen.
Arbeiten mit Rollengruppen
Am besten verwenden Sie zum Verwalten der Berechtigungen mithilfe von Rollengruppen in Exchange Online die Exchange-Verwaltungskonsole. Wenn Sie zum Verwalten von Rollengruppen die Exchange-Verwaltungskonsole verwenden, können Sie mit ein paar Mausklicks Rollen und Mitglieder hinzufügen und entfernen, Rollengruppen erstellen oder Rollengruppen kopieren. Das EAC stellt einfache Dialogfelder bereit, z. B. das Dialogfeld Rollengruppe hinzufügen , das in der folgenden Abbildung dargestellt ist, um diese Aufgaben auszuführen.
Exchange Online enthält mehrere Rollengruppen, die Berechtigungen in bestimmte Administrative Bereiche unterteilen. Wenn diese vorhandenen Rollengruppen die Berechtigungen bereitstellen, die Ihre Administratoren zum Verwalten Ihrer Exchange Online organization benötigen, müssen Sie Ihre Administratoren nur als Mitglieder der entsprechenden Rollengruppen hinzufügen. Nachdem Sie einer Rollengruppe Administratoren hinzugefügt haben, können sie die Features verwalten, die sich auf diese Rollengruppe beziehen. Zum Hinzufügen oder Entfernen von Mitgliedern zu oder aus einer Rollengruppe öffnen Sie die Rollengruppe im EAC, und fügen Sie dann Mitglieder zur Mitgliederliste hinzu oder entfernen sie daraus. Eine Liste der integrierten Rollengruppen finden Sie in der Tabelle "Integrierte Rollengruppen" unter Rollengruppen.
Wichtig
Wenn ein Administrator Mitglied mehrerer Rollengruppen ist, erteilt Exchange Online dem Administrator die Berechtigungen aller Rollengruppen, in denen er Mitglied ist.
Wenn keine der in Exchange Online enthaltenen Rollengruppen die erforderlichen Berechtigungen bietet, können Sie über die Exchange-Verwaltungskonsole eine Rollengruppe erstellen und dieser die Rollen mit den erforderlichen Berechtigungen hinzufügen. Für eine neue Rollengruppe führen Sie die folgenden Aufgaben aus:
Auswählen eines Namens für die Rollengruppe.
Auswählen der Rollen, die zur Rollengruppe hinzugefügt werden sollen.
Hinzufügen von Mitgliedern zur Rollengruppe.
Speichern der Rollengruppe.
Nach dem Erstellen der Rollengruppe wird diese wie alle anderen Rollengruppen verwaltet.
Wenn eine vorhandene Rollengruppe einige, jedoch nicht alle erforderlichen Berechtigungen bietet, können Sie die Rollengruppe kopieren und anschließend Änderungen vornehmen, um eine neue Rollengruppe zu erstellen. Sie können eine vorhandene Rollengruppe kopieren und ändern, ohne dass sich dies auf die ursprüngliche Rollengruppe auswirkt. Wenn Sie die Rollengruppe kopieren, können Sie einen neuen Namen und eine Beschreibung angeben, Rollen zur neuen Rollengruppe hinzufügen oder aus dieser entfernen und neue Mitglieder hinzufügen. Beim Erstellen oder Kopieren einer Rollengruppe verwenden Sie erneut das in der Abbildung oben gezeigte Dialogfeld.
Bestehende Rollengruppen können ebenfalls geändert werden. Sie können Rollen zu vorhandenen Rollengruppen hinzufügen und daraus entfernen sowie gleichzeitig Mitglieder hinzufügen und daraus entfernen, indem Sie ein Dialogfeld für das Exchange-Verwaltungskonsole verwenden, das dem dialogfeld in der vorherigen Abbildung ähnelt. Durch das Hinzufügen und Entfernen von Rollen zu bzw. aus Rollengruppen aktivieren und deaktivieren Sie Verwaltungsfunktionen für Mitglieder dieser Rollengruppe.
Hinweis
Wenngleich Sie ändern können, welche Rollen integrierten Rollengruppen zugewiesen sind, sollten Sie die integrierten Rollengruppen stattdessen kopieren, die Kopie der Rollengruppe ändern und anschließend Mitglieder zur Kopie der Rollengruppe hinzufügen. > Die Rollengruppen "Unternehmensadministrator" und "Helpdeskadministrator" können nicht kopiert oder geändert werden.
Arbeiten mit Rollenzuweisungsrichtlinien
Am besten verwenden Sie die Exchange-Verwaltungskonsole, um die Berechtigungen zu verwalten, die Sie Endbenutzern zum Verwalten ihrer eigenen Postfächer in Exchange Online zuweisen. Wenn Sie zum Verwalten von Endbenutzerberechtigungen die Exchange-Verwaltungskonsole verwenden, können Sie mit ein paar Mausklicks Rollen hinzufügen und entfernen oder Rollenzuweisungsrichtlinien erstellen. Um diese Aufgaben auszuführen, bietet die Exchange-Verwaltungskonsole einfache Dialogfelder wie das in der folgenden Abbildung gezeigte Dialogfeld Rollenzuweisungsrichtlinie.
Exchange Online umfasst eine Standard-Rollenzuweisungsrichtlinie. Benutzer, deren Postfächer dieser Rollenzuweisungsrichtlinie zugeordnet sind, können folgende Aufgaben ausführen:
- Beitreten zu oder Verlassen von Verteilergruppen, die Mitgliedern das Verwalten der eigenen Mitgliedschaft gestatten.
- Anzeigen und Ändern grundlegender Postfacheinstellungen ihrer eigenen Postfächer. Dazu zählen z. B. Einstellungen für Posteingangsregeln, Rechtschreibprüfung, Junk-E-Mail und Microsoft ActiveSync-Geräte.
- Ändern ihrer Kontaktinformationen, z. B. geschäftliche Adresse und Telefonnummer, Mobiltelefonnummer und Pagernummer.
- Erstellen, Ändern oder Anzeigen von Einstellungen für Textnachrichten.
- Anzeigen oder Ändern von Voicemaileinstellungen.
- Anzeigen und Ändern ihrer Marketplace-Apps.
- Erstellen von Teampostfächern und Verbinden dieser Postfächer mit Microsoft SharePoint-Listen.
- Erstellen, Ändern oder Anzeigen von Abonnementeinstellungen für E-Mails, wie z. B. Nachrichtenformat und Protokollstandards.
Wenn Sie Berechtigungen aus der Standardrollenzuweisungsrichtlinie oder einer anderen Rollenzuweisungsrichtlinie hinzufügen oder entfernen möchten, können Sie das EAC verwenden. Das von Ihnen verwendete Dialogfeld ähnelt dem Dialogfeld in der vorherigen Abbildung. Wenn Sie die Rollenzuweisungsrichtlinie im EAC öffnen, aktivieren Sie das Kontrollkästchen neben den Rollen, die Sie ihr zuweisen möchten, oder deaktivieren Sie das Kontrollkästchen neben den Rollen, die Sie entfernen möchten. Die Änderung, die Sie an der Rollenzuweisungsrichtlinie vornehmen, wird auf jedes postfach angewendet, das ihr zugeordnet ist.
Wenn Sie den verschiedenen Typen von Benutzern in Ihrer Organisation unterschiedliche Endbenutzerberechtigungen zuweisen möchten, können Sie Rollenzuweisungsrichtlinien erstellen. Beim Erstellen einer Rollenzuweisungsrichtlinie wird ein Dialogfeld angezeigt, das dem oben gezeigten ähnelt. Sie können einen neuen Namen für die Rollenzuweisungsrichtlinie angeben und anschließend die Rollen auswählen, die der Rollenzuweisungsrichtlinie zugewiesen werden sollen. Nach dem Erstellen einer Rollenzuweisungsrichtlinie können Sie die Richtlinie über die Exchange-Verwaltungskonsole Postfächern zuordnen.
Wenn Sie ändern möchten, welche Rollenzuweisungsrichtlinie die Standardeinstellung ist, müssen Sie Exchange Online PowerShell verwenden. Wenn Sie die Standard-Rollenzuweisungsrichtlinie ändern, werden alle neu erstellten Postfächer der neuen Standard-Rollenzuweisungsrichtlinie zugeordnet, sofern nicht explizit eine andere Richtlinie angegeben wurde. Die Rollenzuweisungsrichtlinie, die vorhandenen Postfächern zugeordnet ist, wird beim Auswählen einer neuen Standard-Rollenzuweisungsrichtlinie nicht geändert.
Hinweis
Wenn Sie ein Kontrollkästchen für eine Rolle mit untergeordneten Rollen aktivieren, werden auch die Kontrollkästchen der untergeordneten Rollen aktiviert. Wenn Sie das Kontrollkästchen für eine Rolle mit untergeordneten Rollen deaktivieren, werden auch die Kontrollkästchen der untergeordneten Rollen deaktiviert.
Ausführliche Prozeduren für Rollenzuweisungsrichtlinien finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
Dokumentation zu Berechtigungen
Die folgende Tabelle enthält Links zu Themen mit Informationen zu Berechtigungen und deren Verwaltung in Exchange Online.
| Thema | Beschreibung |
|---|---|
| Understanding Role Based Access Control | Informieren Sie sich über die einzelnen RBAC-Komponenten, und erfahren Sie, wie Sie erweiterte Berechtigungsmodelle erstellen können, wenn Rollengruppen und Verwaltungsrollen nicht ausreichen. |
| Verwalten von Rollengruppen in Exchange Online | Konfigurieren Sie Berechtigungen für Exchange Online Administratoren und fachspezifische Benutzer mithilfe von Rollengruppen, einschließlich hinzufügen und Entfernen von Mitgliedern zu und aus Rollengruppen. |
| Rollenzuweisungsrichtlinien in Exchange Online | Konfigurieren Sie mithilfe von Rollenzuweisungsrichtlinien, auf welche Features Endbenutzer in ihren Postfächern Zugriff haben, können Sie Rollenzuweisungsrichtlinien anzeigen, erstellen, ändern und entfernen, die Standardrichtlinie für die Rollenzuweisung angeben und Rollenzuweisungsrichtlinien auf Postfächer anwenden. |
| Featureberechtigungen in Exchange Online | Erfahren Sie mehr über die zum Verwalten von Exchange Online-Features und -Diensten erforderlichen Berechtigungen. |