Integrierte Microsoft Entra-Rollen
Wenn in Microsoft Entra ID ein anderer Administrator oder ein Nichtadministrator Microsoft Entra-Ressourcen verwalten muss, weisen Sie ihm eine Microsoft Entra-Rolle zu, die die benötigten Berechtigungen bereitstellt. Beispielsweise können Sie Rollen zuweisen, die das Hinzufügen oder Ändern von Benutzern, das Zurücksetzen von Benutzerkennwörtern, das Verwalten von Benutzerlizenzen oder das Verwalten von Domänennamen erlauben.
In diesem Artikel werden die in Microsoft Entra integrierten Rollen aufgeführt, die Sie zuweisen können, um die Verwaltung von Microsoft Entra-Ressourcen zu ermöglichen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Microsoft Entra-Rollen zu Benutzern. Wenn Sie nach Rollen zum Verwalten von Azure-Ressourcen suchen, finden Sie weitere Informationen unter Integrierte Azure-Rollen.
Alle Rollen
| Rolle | BESCHREIBUNG | Vorlagen-ID |
|---|---|---|
| Anwendungsadministrator | Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Anwendungsentwickler | Erstellen von Anwendungsregistrierungen unabhängig von der Einstellung „Benutzer können Anwendungen registrieren“. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autor der Angriffsnutzdaten | Kann Angriffsnutzdaten erstellen, die ein Administrator später initiieren kann. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Administrator für Angriffssimulation | Kann alle Aspekte von Angriffssimulationskampagnen erstellen und verwalten. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrator für Attributzuweisungen | Zuweisen von benutzerdefinierten Sicherheitsattributschlüsseln und -werten zu unterstützten Microsoft Entra-Objekten. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Leser für Attributzuweisungen | Lesen benutzerdefinierter Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrator für Attributdefinitionen | Definieren und Verwalten der Definition von benutzerdefinierten Sicherheitsattributen. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Leser für Attributdefinitionen | Lesen der Definition von benutzerdefinierten Sicherheitsattributen. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Attributprotokolladministrator | Lesen von Überwachungsprotokollen und Konfigurieren von Diagnoseeinstellungen für Ereignisse im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Attributprotokollleser | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administrator für die Authentifizierungserweiterbarkeit | Passen Sie die Anmelde- und Registrierungserfahrungen für Benutzer an, indem Sie benutzerdefinierte Authentifizierungserweiterungen erstellen und verwalten. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| Authentifizierungsrichtlinienadministrator | Kann die Authentifizierungsmethodenrichtlinie, mandantenweite MFA-Einstellungen, die Kennwortschutzrichtlinie und überprüfbare Anmeldeinformationen erstellen und verwalten. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure DevOps-Administrator | Kann Azure DevOps-Richtlinien und -Einstellungen verwalten. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection-Administrator | Verwalten sämtlicher Aspekte des Produkts Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C-IEF-Schlüsselsatzadministrator | Kann Geheimnisse für Verbund und Verschlüsselung im Identity Experience Framework (IEF) verwalten. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C-IEF-Richtlinienadministrator | Kann Vertrauensframeworkrichtlinien im Identity Experience Framework (IEF) erstellen und verwalten. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Rechnungsadministrator | Ausführen von allgemeinen Abrechnungsaufgaben wie der Aktualisierung der Zahlungsinformationen. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security-Administrator | Kann alle Aspekte des Produkts Defender for Cloud Apps verwalten. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Cloudanwendungsadministrator | Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer Anwendungsproxy. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Cloudgeräteadministrator | Eingeschränkter Zugriff zum Verwalten von Geräten in Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Complianceadministrator | Kann die Konformitätskonfiguration und Berichte in Microsoft Entra ID und Microsoft 365 lesen. | 17315797-102d-40b4-93e0-432062caca18 |
| Compliancedatenadministrator | Erstellt und verwaltet Complianceinhalte. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Administrator für bedingten Zugriff | Verwalten von Funktionen zum bedingten Zugriff. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Genehmigende Person für den LockBox-Kundenzugriff | Kann Microsoft-Supportanfragen zum Zugriff auf Benutzerorganisationsdaten genehmigen. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics-Administrator | Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Verzeichnisleseberechtigte | Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Verzeichnissynchronisierungskonten | Wird nur vom Microsoft Entra Connect-Dienst verwendet. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Verzeichnisschreibberechtigte | Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Domänennamenadministrator | Verwalten von Domänennamen lokal und in der Cloud. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365-Administrator | Verwalten sämtlicher Aspekte des Produkts Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Dynamics 365 Business Central-Administrator | Kann auf Dynamics 365 Business Central-Umgebungen zugreifen und alle administrativen Aufgaben in den Umgebungen ausführen. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Edgeadministrator | Verwalten sämtlicher Aspekte von Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange-Administrator | Verwalten sämtlicher Aspekte des Produkts Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Administrator für Exchange-Empfänger | Erstellen oder Aktualisieren von Exchange Online-Empfängern in der Exchange Online-Organisation. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Administrator für Benutzerflows mit externer ID | Kann alle Aspekte von Benutzerflows erstellen und verwalten. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Administrator für Benutzerflowattribute mit externer ID | Kann das für alle Benutzerflows verfügbare Attributschema erstellen und verwalten. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Externer Identitätsanbieteradministrator | Kann Identitätsanbieter für die Verwendung in einem direkten Verbund konfigurieren. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Fabric-Administrator | Verwalten sämtlicher Aspekte der Produkte Fabric und Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Globaler Administrator | Kann alle Aspekte von Microsoft Entra-ID und Microsoft-Diensten verwalten, die Microsoft Entra-Identitäten verwenden. |
62e90394-69f5-4237-9190-012177145e10 |
| Globaler Leser | Hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Global Secure Access-Administrator | Erstellen und verwalten Sie alle Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs, einschließlich der Verwaltung des Zugriffs auf öffentliche und private Endpunkte. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Gruppenadministrator | Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Gasteinladender | Einladen von Gastbenutzernunabhängig von der Einstellung „Mitglieder können Gäste einladen“. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Helpdeskadministrator | Zurücksetzen von Kennwörtern für Nicht-Administratoren und Helpdeskadministratoren. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Hybrididentitätsadministrator | Kann Active Directory in Microsoft Entra-Cloudbereitstellung, Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Anmelden (Seamless SSO) und Verbundeinstellungen verwalten. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance-Administrator | Verwalten des Zugriffs mithilfe von Microsoft Entra ID für Identitätsgovernanceszenarien. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights Administrator | Administratorzugriff in der Microsoft 365 Insights-App. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights-Analyst | Greifen Sie auf die Analysefunktionen in Microsoft Viva Insights zu, und führen Sie benutzerdefinierte Abfragen aus. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Kann Dashboards und Erkenntnisse über die Microsoft 365 Insights-App anzeigen und freigeben. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune-Administrator | Verwalten sämtlicher Aspekte des Produkts Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala-Administrator | Kann Einstellungen für Microsoft Kaizala verwalten. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Wissensadministrator | Kann Wissens-, Lern- und andere intelligente Features konfigurieren. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Wissens-Manager | Kann Themen und Wissen organisieren, erstellen, verwalten und bewerben. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Lizenzadministrator | Kann Produktlizenzen für Benutzer und Gruppen verwalten. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Lebenszyklus-Workflowadministrator | Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Nachrichtencenter-Datenschutzleseberechtigter | Kann Sicherheitsnachrichten und -updates nur im Office 365-Nachrichtencenter lesen. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Nachrichtencenter-Leseberechtigter | Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft 365-Migrationsadministrator*in | Führen Sie alle Migrationsfunktionen aus, um Inhalte mithilfe des Migrations-Managers zu Microsoft 365 zu migrieren. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Lokaler Administrator des in Microsoft Entra eingebundenen Geräts | Benutzer, die dieser Rolle zugewiesen wurden, werden der lokalen Administratorgruppe auf in Microsoft Entra eingebundenen Geräten hinzugefügt. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Microsoft-Hardwaregarantieadministrator | Erstellen und Verwalten von Garantieansprüchen und -berechtigungen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft Hardware Warranty Specialist | Erstellen und Lesen von Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Moderner Commerceadministrator | Kann kommerzielle Käufe für ein Unternehmen, eine Abteilung oder ein Team verwalten. | d24aef57-1500-4070-84db-2666f29cf966 |
| Netzwerkadministrator | Verwalten von Netzwerkstandorten und überprüfen von Erkenntnissen zum Entwurf des Unternehmensnetzwerks für Microsoft 365-SaaS-Anwendungen (Software-as-a-Service). | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office-Apps-Administrator | Kann Clouddienste für Office-Apps (einschließlich Richtlinien- und Einstellungsverwaltung) sowie Funktionen zum Auswählen, Aufheben der Auswahl und Veröffentlichen von Inhalten zu neuen Features auf Endbenutzergeräten verwalten. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Organisationsbrandingadministrator | Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| Genehmigende Person für Organisationsnachrichten | Überprüfen, Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center, bevor sie an Benutzer gesendet werden | e48398e2-f4bb-4074-8f31-4586725e205b |
| Schreiber für Organisationsnachrichten | Schreiben, Veröffentlichen, Verwalten und Überprüfen von Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Partnersupport der Ebene 1 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Partnersupport der Ebene 2 | Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Kennwortadministrator | Kann Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Berechtigungsverwaltungsadministrator | Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform-Administrator | Kann alle Aspekte von Microsoft Dynamics 365, Power Apps und Power Automate erstellen und verwalten. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Druckeradministrator | Verwalten sämtlicher Aspekte von Druckern und Druckerconnectors. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Druckertechniker | Registrieren von Druckern, Aufheben ihrer Registrierung und Aktualisieren des Druckerstatus. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Privilegierter Authentifizierungsadministrator | Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrator für privilegierte Rollen | Kann Rollenzuweisungen in Microsoft Entra ID sowie sämtliche Aspekte von Privileged Identity Management (PIM) verwalten. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Berichtleseberechtigter | Lesen von Anmeldungs- und Überwachungsberichten. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Suchadministrator | Kann alle Aspekte der Microsoft Search-Einstellungen erstellen und verwalten. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Such-Editor | Kann redaktionelle Inhalte wie Lesezeichen, Fragen und Antworten, Standorte und Grundrisse erstellen und verwalten. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Sicherheitsadministrator | Kann Sicherheitsinformationen und -berichte lesen und die Konfiguration in Microsoft Entra ID und Office 365 verwalten. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Sicherheitsoperator | Erstellt und verwaltet Sicherheitsereignisse. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Sicherheitsleseberechtigter | Lesen von Sicherheitsinformationen und Berichten in Microsoft Entra ID und Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Dienstsupportadministrator | Lesen von Service Health-Informationen und Verwalten von Supporttickets. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint-Administrator | Verwalten sämtlicher Aspekte des SharePoint-Diensts. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype for Business-Administrator | Verwalten sämtlicher Aspekte des Produkts Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
| Teams-Administrator | Kann den Microsoft Teams-Dienst verwalten. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams-Kommunikationsadministrator | Kann Anruf- und Besprechungsfunktionen im Microsoft Teams-Dienst verwalten. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Supporttechniker für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von erweiterten Tools behandeln. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Supportfachmann für die Teams-Kommunikation | Kann Kommunikationsprobleme in Teams mithilfe von allgemeinen Tools behandeln. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams-Geräteadministrator | Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Mandantenersteller | Erstellen neuer Microsoft Entra ID- oder Azure AD B2C-Mandanten. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Leseberechtigter für Berichte mit Nutzungszusammenfassung | Lesen von Nutzungsberichten und Einführungsbewertung, aber kein Zugriff auf Benutzerdetails. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Benutzeradministrator | Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Administrator für virtuelle Besuche | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Besuche. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Goals-Administrator | Verwalten und konfigurieren Sie alle Aspekte von Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse-Administrator | Kann alle Einstellungen für Microsoft Viva Pulse App verwalten. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365-Administrator | Kann alle Aspekte von Cloud-PCs bereitstellen und verwalten. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update-Bereitstellungsadministrator | Kann alle Aspekte der Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer-Administrator | Verwalten Sie alle Aspekte des Yammer-Diensts. | 810a2642-a034-447f-a5e8-41beaa378541 |
Anwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Beachten Sie, dass Benutzer, denen diese Rolle zugewiesen wurde, bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt werden.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind |
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxy/update | Aktualisieren aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aktualisieren der SSL-Zertifikateinstellungen für den Anwendungsproxy |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aktualisieren der URL-Einstellungen für den Anwendungsproxy |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/verification/update | Aktualisieren der applicationsverification-Eigenschaft |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/connectors/create | Erstellen privater Netzwerkconnectors |
| microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
| microsoft.directory/connectorGroups/create | Erstellen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/delete | Löschen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung. |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Anwendungsentwickler
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Anwendungsregistrierungen erstellen, wenn die Einstellung „Benutzer können Anwendungen registrieren“ auf „Nein“ festgelegt ist. Diese Rolle ermöglicht auch die Berechtigung, im eigenen Namen zuzustimmen, wenn die Einstellung „Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen“ auf „Nein“ festgelegt ist. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen als Besitzer hinzugefügt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/createAsOwner | Erstellen aller Anwendungstypen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Erstellen von OAuth 2.0-Berechtigungszuweisungen (Ersteller wird als erster Besitzer hinzugefügt) |
| microsoft.directory/servicePrincipals/createAsOwner | Erstellen von Dienstprinzipalen (Ersteller wird als erster Besitzer hinzugefügt) |
Autor der Angriffsnutzdaten
Benutzer in dieser Rolle können Angriffsnutzdaten erstellen, diese jedoch nicht tatsächlich starten oder planen. Die Angriffsnutzdaten stehen dann allen Administratoren im Mandanten zur Verfügung und können von diesen zum Erstellen einer Simulation verwendet werden.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
Administrator für Angriffssimulation
Benutzer mit dieser Rolle können alle Aspekte der Angriffssimulationserstellung, des Starts und der Planung einer Simulation und der Überprüfung der Simulationsergebnisse erstellen und verwalten. Mitglieder dieser Rolle besitzen diesen Zugriff für alle Simulationen im Mandanten.
Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator |
Administrator für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte wie Benutzer, Dienstprinzipale und Geräte zuweisen und entfernen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualisieren von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
| microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/devices/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
| microsoft.directory/users/customSecurityAttributes/update | Aktualisieren benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Leser für Attributzuweisungen
Benutzer mit dieser Rolle können benutzerdefinierte Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte lesen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lesen von benutzerdefinierten Sicherheitsattributewerten für von Microsoft Entra verwaltete Identitäten |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
| microsoft.directory/devices/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Geräte |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Dienstprinzipale |
| microsoft.directory/users/customSecurityAttributes/read | Lesen benutzerdefinierter Sicherheitsattributwerte für Benutzer |
Administrator für Attributdefinitionen
Benutzer mit dieser Rolle können gültige benutzerdefinierte Sicherheitsattribute definieren, die unterstützten Microsoft Entra-Objekten zugewiesen werden können. Diese Rolle kann auch benutzerdefinierte Sicherheitsattribute aktivieren und deaktivieren.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Verwalten aller Aspekte von Attributsätzen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Verwalten aller Aspekte von benutzerdefinierten Sicherheitsattributdefinitionen |
Leser für Attributdefinitionen
Benutzer mit dieser Rolle können die Definition von benutzerdefinierten Sicherheitsattributen lesen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Um mit benutzerdefinierten Sicherheitsattributen arbeiten zu können, muss Ihnen eine der benutzerdefinierten Sicherheitsattributrollen zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lesen aller Eigenschaften von Attributgruppen |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lesen aller Eigenschaften von benutzerdefinierten Sicherheitsattributdefinitionen |
Attributprotokolladministrator
Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
- Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute
- Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute
Benutzer mit dieser Rolle können Überwachungsprotokolle für andere Ereignisse nicht lesen.
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute. Um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute zu lesen, muss Ihnen diese Rolle oder die Rolle „Attributprotokollleser“ zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen |
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Konfigurieren aller Aspekte der Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute |
Attributprotokollleser
Weisen Sie die Rolle „Attributprotokollleser“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Lesen von Überwachungsprotokollen für benutzerdefinierte Änderungen des Sicherheitsattributwerts
- Lesen von Überwachungsprotokollen für Definitionen und Zuweisungen benutzerdefinierter Änderungen und Zuweisungen der Sicherheitsattribute
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute
- Lesen von Überwachungsprotokollen für andere Ereignisse
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute. Um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute zu lesen, muss Ihnen diese Rolle oder die Rolle „Attributprotokollladministrator“ zugewiesen sein.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lesen von Überwachungsprotokollen im Zusammenhang mit benutzerdefinierten Sicherheitsattributen |
Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für Nicht-Administratoren und einige andere Rollen. Eine Liste der Rollen, die ein Authentifizierungsadministrator lesen oder deren Authentifizierungsmethoden er aktualisieren kann, finden Sie unter Berechtigungen für die Kennwortzurücksetzung.
- Auffordern von Benutzern, die keine Administratoren sind oder die Rollen zugewiesen sind, ihre vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) erneut zu registrieren, und sie können auch Speichern der MFA auf dem Gerät widerrufen. Dann werden Benutzer bei der nächsten Anmeldung zur Eingabe ihrer MFA-Anmeldeinformationen aufgefordert.
- Durchführen vertraulicher Aktionen für einige Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Verwalten von MFA-Einstellungen im Legacy-MFA-Verwaltungsportal oder Hardware-OATH-Token.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Role | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nr. | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nr. | Nein |
| Benutzeradministrator | Nein | Nr. | Nr. | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für die Authentifizierungserweiterbarkeit
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, welche die folgenden Aufgaben ausführen müssen, die Rolle „Administrator für die Authentifizierungserweiterbarkeit“ zu:
- Erstellen und Verwalten aller Aspekte von benutzerdefinierten Authentifizierungserweiterungen.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Benutzerdefinierte Authentifizierungserweiterungen können Anwendungen nicht zugewiesen werden, um die Authentifizierungserfahrungen zu ändern, und sie können nicht den Anwendungsberechtigungen zustimmen oder App-Registrierungen erstellen, die der benutzerdefinierten Authentifizierungserweiterung zugeordnet sind. Stattdessen müssen Sie die Rollen „Anwendungsadministrator“, „Anwendungsentwickler“ oder „Cloudanwendungsadministrator“ verwenden.
Eine benutzerdefinierte Authentifizierungserweiterung ist ein API-Endpunkt, der von Entwicklern für Authentifizierungsereignisse erstellt und in Microsoft Entra ID registriert wird. Anwendungsadministratoren und Anwendungsbesitzer können benutzerdefinierte Authentifizierungserweiterungen verwenden, um die Authentifizierungserfahrungen ihrer Anwendung anzupassen, z. B. Anmelden und Registrieren oder Kennwortzurücksetzung.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
Authentifizierungsrichtlinienadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Authentifizierungsrichtlinienadministrator“ zu:
- Konfigurieren der Authentifizierungsmethodenrichtlinie, von mandantenweite MFA-Einstellungen und der Kennwortschutzrichtlinie, die bestimmen, welche Methoden ein Benutzer registrieren und verwenden kann.
- Verwalten von Kennwortschutzeinstellungen: Smart Lockout-Konfigurationen und Aktualisieren der Liste der benutzerdefinierten gesperrten Kennwörter.
- Erstellen und Verwalten von Nachweisen.
- Erstellen und Verwalten von Azure-Supporttickets
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Aktualisieren vertraulicher Eigenschaften. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Löschen oder Wiederherstellen von Benutzern. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Verwalten von MFA-Einstellungen im Legacy-MFA-Verwaltungsportal oder Hardware-OATH-Token.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Role | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nr. | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nr. | Nein |
| Benutzeradministrator | Nein | Nr. | Nr. | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Verwalten aller Aspekte von Eigenschaften für eine sichere Authentifizierung in einer Organisation |
| microsoft.directory/userCredentialPolicies/create | Erstellen von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/delete | Löschen von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/standard/read | Lesen der Standardeigenschaften von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/owners/read | Lesen der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Lesen des Navigationslinks „policy.appliesTo“ |
| microsoft.directory/userCredentialPolicies/basic/update | Aktualisieren grundlegender Richtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/owners/update | Aktualisieren der Besitzer von Anmeldeinformationsrichtlinien für Benutzer |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Aktualisieren der policy.isOrganizationDefault-Eigenschaft |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/create | Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/delete | Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
Azure DevOps-Administrator
Benutzer mit dieser Rolle können alle Azure DevOps-Unternehmensrichtlinien verwalten, die für alle Azure DevOps-Organisationen gelten, die von Microsoft Entra ID unterstützt werden. Benutzer mit dieser Rolle können diese Richtlinien verwalten, indem sie zu einer Azure DevOps-Organisation navigieren, die von Microsoft Entra ID des Unternehmens unterstützt wird. Darüber hinaus können Benutzer in dieser Rolle den Besitz verwaister Azure DevOps-Organisationen beanspruchen. Diese Rolle gewährt keine anderen Azure DevOps-spezifischen Berechtigungen (z. B. Projektauflistungsadministratoren) in Azure DevOps-Organisationen, die von der Microsoft Entra-Organisation des Unternehmens unterstützt werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Lesen und Konfigurieren von Azure DevOps |
Azure Information Protection-Administrator
Benutzer mit dieser Rolle besitzen alle Berechtigungen für den Azure Information Protection-Dienst. Sie können Bezeichnungen für die Azure Information Protection-Richtlinie konfigurieren, Schutzvorlagen verwalten und den Schutz aktivieren. Diese Rolle gewährt keine Berechtigungen für Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender-Portal oder das Microsoft Purview-Complianceportal.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
B2C-IEF-Schlüsselsatzadministrator
Dies ist eine privilegierte Rolle. Benutzer können die Richtlinienschlüssel und -geheimnisse für Tokenverschlüsselung, Tokensignaturen und Verschlüsselung/Entschlüsselung von Ansprüchen erstellen und verwalten. Durch das Hinzufügen neuer Schlüssel zu vorhandenen Schlüsselcontainern kann dieser Administrator mit eingeschränkten Rechten bei Bedarf Rollover für Geheimnisse ausführen, ohne dass dies Auswirkungen auf vorhandene Anwendungen hat. Diese Benutzer können den vollständigen Inhalt dieser Geheimnisse und deren Ablaufdaten anzeigen – auch nach deren Erstellung.
Wichtig
Dies ist eine sensible Rolle. Die Administratorrolle für Schlüsselsätze muss sorgfältig überwacht und mit Bedacht für Präproduktion und Produktion zugewiesen werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Lesen und Konfigurieren von Schlüsselsätzen in Azure Active Directory B2C |
B2C-IEF-Richtlinienadministrator
Benutzer mit dieser Rolle können alle benutzerdefinierten Richtlinien in Azure AD B2C erstellen, lesen, aktualisieren und löschen und haben daher vollständige Kontrolle über das Identity Experience Framework in der zugehörigen Azure AD B2C-Organisation. Durch das Bearbeiten von Richtlinien können diese Benutzer einen direkten Verbund mit externen Identitätsanbietern einrichten, das Verzeichnisschema und alle benutzerseitigen Inhalte (HTML, CSS, JavaScript) sowie die Anforderungen für das Abschließen einer Authentifizierung ändern, neue Benutzer erstellen, Benutzerdaten an externe Systeme senden (einschließlich einer vollständigen Migration) und alle Benutzerinformationen bearbeiten (einschließlich vertraulicher Felder wie Kennwörter und Telefonnummern). Andererseits kann diese Rolle keine Verschlüsselungsschlüssel ändern oder Geheimnisse für den Verbund in der Organisation bearbeiten.
Wichtig
Der B2-IEF-Richtlinienadministrator ist eine streng vertrauliche Rolle, die nur sehr wenigen Benutzern für Organisationen in der Produktion zugewiesen werden sollte. Aktivitäten dieser Benutzer sollten streng überwacht werden. Dies gilt vor allem für Organisationen in der Produktion.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Lesen und Konfigurieren benutzerdefinierter Richtlinien in Azure Active Directory B2C |
Abrechnungsadministrator
Tätigt Käufe, verwaltet Abonnements und Supporttickets und überwacht die Dienstintegrität.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/organization/basic/update | Aktualisieren grundlegender Eigenschaften für Organisationen |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Office 365-Abrechnung |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloud App Security-Administrator
Benutzer mit dieser Rolle verfügen über vollständige Berechtigungen für Defender for Cloud-Apps. Sie können Administratoren, Microsoft Defender for Cloud-Apps-Richtlinien und -Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloudanwendungsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben die gleichen Berechtigungen wie die Rolle des Anwendungsadministrators, mit Ausnahme der Möglichkeit, den Anwendungsproxy zu verwalten. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Unternehmensanwendungen und Anwendungsregistrierungen. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.
Diese Rolle ermöglicht auch die Zustimmung zu delegierten Berechtigungen und Anwendungsberechtigungen (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph).
Wichtig
Aufgrund dieser Ausnahme können Sie immer noch Anwendungsberechtigungen für andere Apps (z. B. andere Microsoft-Apps, Drittanbieter-Apps oder von Ihnen registrierte Apps) zustimmen. Sie können diese Berechtigungen weiterhin im Rahmen der App-Registrierung anfordern. Für das Erteilen dieser Berechtigungen (d. h. die Zustimmung) ist jedoch ein Administrator mit höheren Rechten (z. B. ein globaler Administrator) erforderlich.
Diese Rolle ermöglicht die Verwaltung von Anmeldeinformationen für Anwendungen. Benutzer, die dieser Rolle zugewiesen sind, können einer Anwendung Anmeldeinformationen hinzufügen und diese Anmeldeinformationen verwenden, um die Anwendung zu imitieren. Wenn der Identität der Anwendung der Zugriff auf eine Ressource gewährt wurde, z. B. die Berechtigung, Benutzer oder andere Objekte zu erstellen oder zu aktualisieren, kann ein dieser Rolle zugewiesener Benutzer diese Aktionen ausführen, während er die Identität der Anwendung annimmt. Diese Fähigkeit, die Identität der Anwendung anzunehmen, bedeutet ggf. eine Rechteerweiterung im Vergleich zu den Rollenzuweisungen des Benutzers. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind |
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/verification/update | Aktualisieren der applicationsverification-Eigenschaft |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applicationPolicies/create | Erstellen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/delete | Löschen von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/read | Lesen der Besitzer von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lesen der Liste der auf Objekte angewendeten Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/basic/update | Aktualisieren der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applicationPolicies/owners/update | Aktualisieren der owner-Eigenschaft von Anwendungsrichtlinien |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung. |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Erteilen der Zustimmung zu Anwendungsberechtigungen und delegierten Berechtigungen für einen oder alle Benutzer (mit Ausnahme von Anwendungsberechtigungen für Azure AD Graph und Microsoft Graph) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Cloudgeräteadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Geräte in Microsoft Entra ID aktivieren, deaktivieren und löschen sowie Windows 10-BitLocker-Schlüssel (falls vorhanden) im Azure-Portal lesen. Die Rolle gewährt keine Berechtigungen für die Verwaltung anderer Eigenschaften auf dem Gerät.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/delete | Löschen von Geräten aus Microsoft Entra ID |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualisieren grundlegender Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
Complianceadministrator
Benutzer mit dieser Rolle verfügen über die Berechtigung zum Verwalten von compliancebezogenen Funktionen im Microsoft Purview-Complianceportal, im Microsoft 365 Admin Center, in Azure und im Microsoft 365 Defender-Portal. Zugewiesene Personen können auch alle Features im Exchange Admin Center verwalten und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Grundlegendes zum Microsoft Purview-Complianceportal | Schützen und Verwalten Ihrer Organisationsdaten für Microsoft 365-Dienste Verwalten von Konformitätwarnungen |
| Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
| Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Complianceadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
| Intune | Anzeigen aller Intune-Überwachungsdaten |
| Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Konformitätsdaten
Benutzer mit dieser Rolle verfügen über Berechtigungen zum Nachverfolgen von Daten im Microsoft Purview Compliance Center, Microsoft 365 Admin Center und in Azure. Die Benutzer können auch Compliancedaten im Exchange Admin Center, in Compliance-Manager sowie im Teams und Skype for Business Admin Center nachverfolgen und Supporttickets für Azure und Microsoft 365 erstellen. Weitere Informationen zu den Unterschieden zwischen Complianceadministrator und Compliancedatenadministrator finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Konformität.
| Geben Sie in | Möglich |
|---|---|
| Grundlegendes zum Microsoft Purview-Complianceportal | Überwachen von compliancerelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Konformitätwarnungen |
| Grundlegendes zum Compliance-Manager für Microsoft Purview | Nachverfolgen, Zuweisen und Überprüfen der Einhaltung gesetzlicher Vorschriften durch Ihre Organisation |
| Microsoft 365 Defender-Portal | Verwalten der Datengovernance Durchführen von Untersuchung zu rechtlichen Aspekten und von Daten Verwalten von DRS-Anforderungen Diese Rolle verfügt über die gleichen Berechtigungen wie die Compliancedatenadministrator-Rollengruppe der rollenbasierten Zugriffssteuerung im Microsoft 365 Defender-Portal. |
| Intune | Anzeigen aller Intune-Überwachungsdaten |
| Microsoft Defender für Cloud-Apps | Verfügt über schreibgeschützten Zugriff und kann Warnungen verwalten Kann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassen Kann alle unter „Datenverwaltung“ integrierten Berichte anzeigen |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für den bedingten Zugriff
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Microsoft Entra ID-Einstellungen für den bedingten Zugriff verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualisieren der Besitzer von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualisieren des Standardmandanten für Richtlinien für bedingten Zugriff |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
Genehmigende Person für den LockBox-Kundenzugriff
Verwaltet Microsoft Purview-Kunden-Lockbox-Anforderungen in Ihrer Organisation. Sie erhalten E-Mail-Benachrichtigungen für Kunden-Lockbox-Anforderungen und können Anforderungen über das Microsoft 365 Admin Center genehmigen und ablehnen. Außerdem können sie das Feature Kunden-Lockbox aktivieren und deaktivieren. Nur globale Administratoren können die Kennwörter von Personen zurücksetzen, die dieser Rolle zugewiesen sind.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Verwalten sämtlicher Aspekte der Kunden-Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Desktop Analytics-Administrator
Benutzer in dieser Rolle können den Desktop Analytics-Dienst verwalten. Dies umfasst die Möglichkeit zum Anzeigen des Assetbestands, Erstellen von Bereitstellungsplänen sowie zum Anzeigen des Bereitstellungs- und Integritätsstatus.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Verwalten sämtlicher Aspekte von Desktop Analytics |
Rolle „Verzeichnis lesen“
Benutzer in dieser Rolle können grundlegende Verzeichnisinformationen lesen. Diese Rolle sollte für folgende Zwecke verwendet werden:
- Gewähren von Lesezugriff für eine bestimmte Gruppe von Gastbenutzern statt für alle Gastbenutzer.
- Gewähren von Zugriff auf das Azure-Portal für eine bestimmten Gruppe von Benutzern ohne Administratorberechtigung, wenn „Zugriff auf Azure-Portal auf Administratoren beschränken“ auf „Ja“ festgelegt ist.
- Gewähren von Zugriff auf das Verzeichnis für Dienstprinzipale, wenn „Directory.Read.All“ keine Option darstellt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Lesen grundlegender Eigenschaften für Verwaltungseinheiten |
| microsoft.directory/administrativeUnits/members/read | Lesen der Mitglieder von Verwaltungseinheiten |
| microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
| microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
| microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
| microsoft.directory/contacts/standard/read | Lesen grundlegender Eigenschaften von Kontakten in Microsoft Entra ID. |
| microsoft.directory/contacts/memberOf/read | Lesen der Gruppenmitgliedschaft für alle Kontakte in Microsoft Entra ID. |
| microsoft.directory/contracts/standard/read | Lesen grundlegender Eigenschaften für Partnerverträge |
| microsoft.directory/devices/standard/read | Lesen grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/memberOf/read | Lesen von Gerätemitgliedschaften |
| microsoft.directory/devices/registeredOwners/read | Lesen von registrierten Besitzern von Geräten |
| microsoft.directory/devices/registeredUsers/read | Lesen von registrierten Benutzern von Geräten |
| microsoft.directory/directoryRoles/standard/read | Lesen Sie grundlegende Eigenschaften von Microsoft Entra-Rollen |
| microsoft.directory/directoryRoles/eligibleMembers/read | Lesen der berechtigten Mitglieder von Microsoft Entra-Rollen. |
| microsoft.directory/directoryRoles/members/read | Lesen aller Mitglieder von Microsoft Entra-Rollen. |
| microsoft.directory/domains/standard/read | Lesen grundlegender Eigenschaften für Domänen |
| microsoft.directory/groups/standard/read | Lesen der Standardeigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen von Gruppen |
| microsoft.directory/groups/memberOf/read | Lesen der memberOf-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/read | Lesen der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/read | Lesen der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/read | Lesen der Einstellungen von Gruppen |
| microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Lesen grundlegender Eigenschaften für OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/organization/standard/read | Lesen grundlegender Eigenschaften für Organisationen |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Lesen von vertrauenswürdigen Zertifizierungsstellen für die kennwortlose Authentifizierung |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/roleAssignments/standard/read | Lesen grundlegender Eigenschaften für Rollenzuweisungen |
| microsoft.directory/roleDefinitions/standard/read | Lesen grundlegender Eigenschaften für Rollendefinitionen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/memberOf/read | Lesen von Gruppenmitgliedschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Lesen der Objekte im Besitz von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
| microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
| microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
| microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
| microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
| microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
| microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
| microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
| microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
| microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
| microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
| microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist |
| microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
Konten zur Verzeichnissynchronisierung
Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wird automatisch dem Microsoft Entra Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID. |
| microsoft.directory/organization/dirSync/update | Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID. |
| microsoft.directory/policies/create | Erstellen von Richtlinien in Microsoft Entra ID. |
| microsoft.directory/policies/delete | Löschen von Richtlinien in Microsoft Entra ID. |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/read | Lesen der Besitzer von Richtlinien |
| microsoft.directory/policies/policyAppliedTo/read | Lesen der policies.policyAppliedTo-Eigenschaft |
| microsoft.directory/policies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/update | Aktualisieren der Besitzer von Richtlinien |
| microsoft.directory/policies/tenantDefault/update | Aktualisieren von Standardorganisationsrichtlinien |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Verwalten von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lesen von Anmeldeinformationen für das einmalige Anmelden per Kennwort für Dienstprinzipale |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lesen der Rollenzuweisungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lesen der Rollenzuweisungen, die Dienstprinzipalen zugewiesen sind |
| microsoft.directory/servicePrincipals/standard/read | Lesen sämtlicher Eigenschaften von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/memberOf/read | Lesen von Gruppenmitgliedschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungsgewährungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/owners/read | Lesen der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/ownedObjects/read | Lesen der Objekte im Besitz von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/read | Lesen der Richtlinien von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/credentials/update | Aktualisieren der Anmeldeinformationen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
Verzeichnis schreiben
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können grundlegende Informationen von Benutzern, Gruppen und Dienstprinzipalen lesen und aktualisieren.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Aktualisieren von Erweiterungseigenschaften von Anwendungen |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen. |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groupSettings/create | Create group settings (Gruppeneinstellungen erstellen) |
| microsoft.directory/groupSettings/delete | Delete group settings (Gruppeneinstellungen löschen) |
| microsoft.directory/groupSettings/basic/update | Aktualisieren grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/oAuth2PermissionGrants/create | Erstellen von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Aktualisieren von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/sponsors/update | Aktualisieren von Sponsoren von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
Domänennamenadministrator
Dies ist eine privilegierte Rolle. Benutzer*innen mit dieser Rolle können Domänennamen verwalten (lesen, hinzufügen, überprüfen, aktualisieren und löschen). Sie können auch Verzeichnisinformationen zu Benutzern, Gruppen und Anwendungen lesen, da diese Objekte Domänenabhängigkeiten besitzen. Bei lokalen Umgebungen können Benutzer mit dieser Rolle Domänennamen für den Verbund konfigurieren, sodass zugeordnete Benutzer immer lokal authentifiziert werden. Diese Benutzer können sich dann über einmaliges Anmelden (Single Sign-On, SSO) bei Microsoft Entra-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Verbundeinstellungen müssen über Microsoft Entra Connect synchronisiert werden, damit Benutzer auch über Berechtigungen zum Verwalten von Microsoft Entra Connect verfügen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dynamics 365-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Dynamics 365 Online, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Verwenden von Dienstadministratorrollen zum Verwalten Ihres Mandanten.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Dynamics 365-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Dynamics 365-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dynamics 365 Business Central-Administrator
Weisen Sie die Dynamics 365 Business Central-Administratorrolle Benutzern zu, welche die folgenden Aufgaben ausführen müssen:
- Zugreifen auf Dynamics 365 Business Central-Umgebungen
- Durchführen aller administrativen Aufgaben in Umgebungen
- Verwalten des Lebenszyklus der Umgebungen des Kunden
- Überwachen der auf Umgebungen installierten Erweiterungen
- Steuern von Upgrades für Umgebungen
- Durchführen von Datenexporten in Umgebungen
- Lesen und Konfigurieren von Azure- und Microsoft 365-Dienstintegritätsdashboards
Diese Rolle bietet keine Berechtigungen für andere Dynamics 365-Produkte.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.directory/subscribedSkus/allProperties/read | Lesen sämtlicher Eigenschaften von Produktabonnements |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Dynamics 365 Business Central |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Edgeadministrator
Benutzer mit dieser Rolle können die Unternehmenswebsiteliste erstellen und verwalten, die für den Internet Explorer-Modus in Microsoft Edge erforderlich ist. Diese Rolle gewährt Berechtigungen zum Erstellen, Bearbeiten und Veröffentlichen der Websiteliste und ermöglicht darüber hinaus den Zugriff auf die Verwaltung von Supporttickets. Weitere Informationen
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Exchange-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst verfügbar ist. Außerdem haben sie die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Exchange-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Exchange-Administrator“. Im Exchange Admin Center lautet sie „Exchange Online-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.exchange/allEntities/basic/allTasks | Verwalten sämtlicher Aspekte von Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für Exchange-Empfänger
Benutzer mit dieser Rolle haben Lesezugriff auf Empfänger und Schreibzugriff auf die Attribute dieser Empfänger in Exchange Online. Weitere Informationen finden Sie unter Empfänger in Exchange Server.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Erstellen und Löschen aller Empfänger sowie Lesen und Aktualisieren aller Eigenschaften von Empfängern in Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Verwalten aller Aufgaben im Zusammenhang mit der Migration von Empfängern in Exchange Online |
Administrator für Benutzerflows mit externer ID
Benutzer*innen mit dieser Rolle können Benutzerabläufe (auch als „integrierte“ Richtlinien bezeichnet) im Azure-Portal erstellen und verwalten. Diese Benutzer können HTML-/CSS-/JavaScript-Inhalte anpassen, MFA-Anforderungen ändern, Ansprüche im Token auswählen, API-Connectors und ihre Anmeldeinformationen verwalten und Sitzungseinstellungen für alle Benutzerflows in der Microsoft Entra-Organisation konfigurieren. Auf der anderen Seite bietet diese Rolle nicht die Möglichkeit, Benutzerdaten zu überprüfen oder Änderungen an Attributen vorzunehmen, die im Organisationsschema enthalten sind. Änderungen an Richtlinien des Identity Experience Framework (auch „benutzerdefinierte Richtlinien“ genannt) gehören ebenfalls nicht zum Berechtigungsumfang dieser Rolle.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Lesen und Konfigurieren von Benutzerflows in Azure Active Directory B2C |
Administrator für Benutzerflowattribute mit externer ID
Benutzer mit dieser Rolle können benutzerdefinierte Attribute, die für alle Benutzerflows in der Microsoft Entra-Organisation verfügbar sind, hinzufügen und löschen. Daher können Benutzer mit dieser Rolle dem Benutzerschema neue Elemente hinzufügen und diese ändern und haben damit Einfluss auf das Verhalten aller Benutzerflows. Indirekt kann dies auch ändern, welche Daten von Benutzern abgefragt und letztendlich als Ansprüche an Anwendungen gesendet werden. Diese Rolle kann keine Benutzerflows bearbeiten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Lesen und Konfigurieren von Benutzerattributen in Azure Active Directory B2C |
Externer Identitätsanbieteradministrator
Dies ist eine privilegierte Rolle. Dieser Administrator verwaltet den Verbund zwischen Microsoft Entra-Organisationen und externen Identitätsanbietern. Benutzer mit dieser Rolle können neue Identitätsanbieter hinzufügen und alle verfügbaren Einstellungen (z.B. Authentifizierungspfad, Dienst-ID, zugewiesene Schlüsselcontainer) konfigurieren. Diese Benutzer können festlegen, dass die Microsoft Entra-Organisation Authentifizierungen von externen Identitätsanbietern vertraut. Die resultierenden Auswirkungen auf die Benutzerumgebung hängt vom Typ der Organisation ab:
- Microsoft Entra-Organisationen für Mitarbeiter und Partner: Das Hinzufügen eines Verbunds (z. B. mit Gmail) hat sofortige Auswirkungen auf alle Gasteinladungen, die noch nicht eingelöst wurden. Weitere Informationen finden Sie unter Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer.
- Azure Active Directory B2C-Organisationen: Das Hinzufügen eines Verbunds (z. B. bei Facebook oder einer anderen Microsoft Entra-Organisation) wirkt sich nicht sofort auf die Endbenutzerflows aus, sondern erst, wenn der Identitätsanbieter in einem Benutzerflow als Option hinzugefügt wird (auch bezeichnet als „integrierte Richtlinie“). Ein Beispiel finden Sie unter Konfigurieren eines Microsoft-Kontos als Identitätsanbieter. Um Benutzerflows zu ändern, ist die Rolle „B2C-Benutzerflowadministrator“ mit eingeschränkten Rechen erforderlich.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/identityProviders/allProperties/allTasks | Lesen und Konfigurieren von Identitätsanbietern in Azure Active Directory B2C |
Fabric-Administrator
Benutzer*innen mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Fabric und Power BI, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Grundlegendes zu Fabric-Administratorrollen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.powerApps.powerBI/allEntities/allTasks | Verwalten sämtlicher Aspekte von Fabric und Power BI |
Globaler Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben Zugriff auf alle Verwaltungsfunktionen in Microsoft Entra ID sowie auf Dienste, die Microsoft Entra-Identitäten wie das Microsoft 365 Defender-Portal, das Microsoft Purview Complianceportal, Exchange Online, SharePoint Online und Skype for Business Online verwenden. Globale Administrator*innen können Verzeichnisaktivitätsprotokolle anzeigen. Zudem können globale Administratoren ihre Zugriffsrechte erhöhen, um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten. Dadurch erhalten globale Administratoren mithilfe des entsprechenden Microsoft Entra-Mandanten Vollzugriff auf alle Azure-Ressourcen. Die Person, die die Anmeldung für die Microsoft Entra-Organisation vornimmt, wird ein globaler Administrator. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein. Globale Administratoren können das Kennwort für alle Benutzer und alle anderen Administratoren zurücksetzen. Ein globaler Administrator kann seine eigene Zuweisung als globaler Administrator nicht aufheben. Dadurch wird verhindert, dass eine Organisation über keine globalen Administratoren verfügt.
Hinweis
Als bewährte Methode empfiehlt Microsoft, dass Sie die Rolle "Globaler Administrator" weniger als fünf Personen in Ihrer Organisation zuweisen. Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Microsoft Entra ID. |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen aller überprüfbarer Ressourcen in Microsoft Entra. |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Verwalten von Richtlinien zur Anforderung einer Administratoreinwilligung in Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern). |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind |
| microsoft.directory/applications/allProperties/allTasks | Erstellen und Löschen von Anwendungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/read | Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.directory/connectors/create | Erstellen privater Netzwerkconnectors |
| microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
| microsoft.directory/connectorGroups/create | Erstellen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/delete | Löschen privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectorGroups/allProperties/update | Aktualisieren aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/contacts/allProperties/allTasks | Erstellen und Löschen von Kontakten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/contracts/allProperties/allTasks | Erstellen und Löschen von Partnerkontakten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deletedItems/delete | Dauerhaftes Löschen von Objekten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems/restore | Wiederherstellen vorläufig gelöschter Objekte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/allProperties/allTasks | Erstellen und Löschen von Geräten sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Zuweisung einer Lizenz an Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen an Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/multiTenantOrganization/basic/update | Aktualisieren grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/create | Erstellen einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Beitreten zu einer Organisation mit mehreren Mandanten |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/standard/read | Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Aktualisieren der grundlegenden Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/create | Erstellen eines Mandanten in einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/delete | Löschen eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceManagementPolicies/basic/update | Aktualisieren grundlegender Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/directoryRoles/allProperties/allTasks | Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Erstellen und Löschen von Microsoft Entra-Rollenvorlagen sowie Lesen und Aktualisieren aller Eigenschaften. |
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/groups/allProperties/allTasks | Erstellen und Löschen von Gruppen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupsAssignableToRoles/create | Erstellen einer Gruppe, der Rollen zugeordnet werden können |
| microsoft.directory/groupsAssignableToRoles/delete | Löschen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/restore | Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aktualisieren von Gruppen, denen Rollen zugeordnet werden können |
| microsoft.directory/groupSettings/allProperties/allTasks | Erstellen und Löschen von Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Erstellen und Löschen von Vorlagen für Gruppeneinstellungen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID. |
| microsoft.directory/identityProtection/allProperties/allTasks | Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften in Microsoft Entra ID Protection. |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/organization/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften einer Organisation |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID. |
| microsoft.directory/policies/allProperties/allTasks | Erstellen und Löschen von Richtlinien sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Verwalten sämtlicher Eigenschaften der Richtlinien für bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Aktualisieren mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähige Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Zurücksetzen mandantenübergreifender Synchronisierungsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Aktualisieren mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Zurücksetzen mandantenübergreifender Zugriffsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/serviceAction/activateService | Ausführen der Aktion „Dienst aktivieren“ für einen Dienst |
| microsoft.directory/serviceAction/disableDirectoryFeature | Ausführen der Dienstaktion „Verzeichnisfunktion deaktivieren“ |
| microsoft.directory/serviceAction/enableDirectoryFeature | Ausführen der Dienstaktion „Verzeichnisfunktion aktivieren“ |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Ausführen der Dienstaktion „getAvailableExtentionProperties“ |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Erstellen und Löschen von Dienstprinzipalen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Erwerben und Verwalten von Abonnements sowie Löschen von Abonnements |
| microsoft.directory/users/allProperties/allTasks | Erstellen und Löschen von Benutzern sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/users/convertExternalToInternalMemberUser | Konvertieren eines externen Benutzers in einen internen Benutzer |
| microsoft.directory/permissionGrantPolicies/create | Erstellen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/delete | Löschen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/servicePrincipalCreationPolicies/create | Erstellen von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Löschen von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Aktualisieren grundlegender Eigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/tenantManagement/tenants/create | Erstellen neuer Mandanten in Microsoft Entra ID. |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Widerrufen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Erstellen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualisieren eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/create | Erstellen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/delete | Löschen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen sowie zum Löschen aller ihrer überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualisieren der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID. |
| microsoft.directory/pendingExternalUserProfiles/create | Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Office 365-Abrechnung |
| microsoft.commerce.billing/purchases/standard/read | Kaufdienste im M365 Admin Center lesen |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
| microsoft.flow/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Power Automate |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten |
| microsoft.insights/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Insights-App |
| microsoft.intune/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Verwalten sämtlicher Aspekte von Office 365 Compliance-Manager |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Verwalten sämtlicher Aspekte von Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Verwalten sämtlicher Aspekte von Exchange Online |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Verwalten aller Aspekte von eingebetteten SharePoint-Containern |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App. |
| microsoft.office365.lockbox/allEntities/allTasks | Verwalten sämtlicher Aspekte der Kunden-Lockbox |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Microsoft 365-Migrationen |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Security & Compliance Center |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.userCommunication/allEntities/allTasks | Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung |
| microsoft.powerApps/allEntities/allTasks | Verwalten sämtlicher Aspekte von Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Verwalten sämtlicher Aspekte von Fabric und Power BI |
| microsoft.azure.print/allEntities/allProperties/allTasks | Verwalten aller Ressourcen in Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Goals verwalten |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Pulse verwalten |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts |
Globaler Leser
Dies ist eine privilegierte Rolle. Benutzer in dieser Rolle können in Microsoft 365-Diensten Einstellungen und administrative Informationen lesen, aber keine Verwaltungsaktionen ausführen. Die Rolle „Globaler Leser“ ist das Gegenstück zu „Globaler Administrator“, hat jedoch nur Leseberechtigungen. Weisen Sie die Rolle „Globaler Leser“ anstelle der Rolle „Globaler Administrator“ für Planungen, Audits oder Untersuchungen zu. Kombinieren Sie die Rolle „Globaler Leser“ mit anderen eingeschränkten Administratorrollen (z. B. Exchange-Administrator), um die Arbeit zu vereinfachen, ohne die Rolle „Globaler Administrator“ verwenden zu müssen. Die Rolle „Globaler Leser“ funktioniert mit Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, Teams Admin Center, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal, Azure-Portal und Device Management Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Kein Zugriff auf den Bereich „Kaufdienste“ im Microsoft 365 Admin Center.
Hinweis
Für die Rolle „Globaler Leser“ gelten die folgenden Einschränkungen:
- OneDrive Admin Center: OneDrive Admin Center unterstützt die Rolle „Globaler Leser“ nicht.
- Microsoft 365 Admin Center: Die Rolle „Globaler Leser“ kann integrierte Apps nicht lesen. Die Registerkarte Integrierte Apps wird im linken Bereich des Microsoft 365 Admin Centers unter Einstellungen nicht angezeigt.
- Microsoft 365 Defender-Portal: Die Rolle „Globaler Leser“ kann weder SCC-Überwachungsprotokolle lesen, noch eine Inhaltssuche durchführen oder die Sicherheitsbewertung anzeigen.
- Teams Admin Center: Die Rolle „Globaler Leser“ kann den Teams-Lebenszyklus, Analysen und Berichte, die IP-Telefon-Geräteverwaltung und den App-Katalog nicht lesen. Weitere Informationen finden Sie unter Verwenden von Teams-Administratorrollen zum Verwalten von Microsoft Teams.
- Privileged Access Management unterstützt die Rolle „Globaler Leser“ nicht.
- Azure Information Protection: Die Rolle „Globaler Leser“ wird nur für die zentrale Berichterstellung unterstützt, wenn sich Ihre Microsoft Entra-Organisation nicht auf der Plattform für einheitliche Bezeichnungen befindet.
- SharePoint: „Globaler Leser“ kann derzeit nicht per PowerShell auf SharePoint zugreifen.
- Power Platform Admin Center - Der globale Leser wird im Power Platform Admin Center noch nicht unterstützt.
- Microsoft Purview unterstützt nicht die Rolle „Globaler Leser“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.directory/accessReviews/allProperties/read | (Veraltet) Lesen aller Eigenschaften von Zugriffsüberprüfungen |
| microsoft.directory/accessReviews/definitions/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Microsoft Entra ID. |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Lesen aller Eigenschaften von Richtlinien für die Anforderung zur Administratoreinwilligung in Microsoft Entra ID. |
| microsoft.directory/administrativeUnits/allProperties/read | Lesen aller Eigenschaften von Verwaltungseinheiten, einschließlich Mitgliedern |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lesen aller Eigenschaften von Einwilligungsanforderungen für Anwendungen, die bei Microsoft Entra ID registriert sind |
| microsoft.directory/applications/allProperties/read | Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) aller Anwendungstypen |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lesen der Standardeigenschaften von Authentifizierungsmethoden, die keine personenbezogenen Informationen für Benutzer enthalten |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/cloudAppSecurity/allProperties/read | Lesen aller Eigenschaften für Defender for Cloud-Apps |
| microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/contacts/allProperties/read | Lesen sämtlicher Eigenschaften für Kontakte |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Lesen von benutzerdefinierten Authentifizierungserweiterungen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts. |
| microsoft.directory/devices/allProperties/read | Alle Eigenschaften von Geräten lesen |
| microsoft.directory/directoryRoles/allProperties/read | Lesen aller Eigenschaften von Verzeichnisrollen |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Lesen aller Eigenschaften von Verzeichnisrollenvorlagen |
| microsoft.directory/domains/allProperties/read | Lesen sämtlicher Eigenschaften von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/groups/allProperties/read | Lesen aller Eigenschaften (einschließlich privilegierter Eigenschaften) von Sicherheits- und Microsoft 365-Gruppen (einschließlich Gruppen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groupSettings/allProperties/read | Lesen sämtlicher Eigenschaften von Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/allProperties/read | Lesen sämtlicher Eigenschaften von Vorlagen für Gruppeneinstellungen |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Microsoft Entra ID Protection. |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Lesen sämtlicher Eigenschaften für die Anmeldeseite Ihrer Organisation mit Branding |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Lesen sämtlicher Eigenschaften von OAuth 2.0-Berechtigungszuweisungen |
| microsoft.directory/organization/allProperties/read | Lesen sämtlicher Eigenschaften für eine Organisation |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/policies/allProperties/read | Alle Eigenschaften von Richtlinien lesen |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Lesen sämtlicher Eigenschaften der Richtlinien für bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/standard/read | Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/roleAssignments/allProperties/read | Lesen aller Eigenschaften von Rollenzuweisungen |
| microsoft.directory/roleDefinitions/allProperties/read | Lesen aller Eigenschaften von Rollendefinitionen |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Anzeigen der Mitglieder von Verwaltungseinheiten |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Ausführen der Dienstaktion „getAvailableExtentionProperties“ |
| microsoft.directory/servicePrincipals/allProperties/read | Lesen sämtlicher Eigenschaften (einschließlich privilegierter Eigenschaften) von servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Lesen von Standardeigenschaften von Erstellungsrichtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/subscribedSkus/allProperties/read | Lesen sämtlicher Eigenschaften von Produktabonnements |
| microsoft.directory/users/allProperties/read | Lesen sämtlicher Eigenschaften von Benutzern |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lesen einer Karte mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lesen eines Vertrags mit überprüfbaren Anmeldeinformationen |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lesen der erforderlichen Konfiguration zum Erstellen und Verwalten von überprüfbaren Anmeldeinformationen |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Lesen aller Eigenschaften von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID. |
| microsoft.cloudPC/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Lesen sämtlicher Ressourcen der Office 365-Abrechnung |
| microsoft.commerce.billing/purchases/standard/read | Kaufdienste im M365 Admin Center lesen |
| microsoft.edge/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Microsoft Edge |
| microsoft.networkAccess/allEntities/allProperties/read | Lesen aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
| microsoft.hardware.support/shippingAddress/allProperties/read | Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.insights/allEntities/allProperties/read | Lesen aller Aspekte von Viva Insights |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | Lesen von Entitäten und Berechtigungen von eingebetteten SharePoint-Containern |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Lesen aller Eigenschaften im Security & Compliance Center |
| microsoft.office365.securityComplianceCenter/allEntities/read | Lesen von Standardeigenschaften im Microsoft 365 Security and Compliance Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/read | Lesen sämtlicher Aspekte von Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Lesen aller Aspekte der Microsoft Entra-Berechtigungsverwaltung |
| microsoft.teams/allEntities/allProperties/read | Lesen aller Eigenschaften von Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Lesen aller Aspekte von Virtual Visits |
| microsoft.viva.goals/allEntities/allProperties/read | Alle Aspekte von Microsoft Viva Goals lesen |
| microsoft.viva.pulse/allEntities/allProperties/read | Alle Aspekte von Microsoft Viva Pulse lesen |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Lesen aller Aspekte des Windows Update-Diensts |
Global Secure Access-Administrator
Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Global Secure Access-Administrator“ zu:
- Erstellen und Verwalten aller Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs
- Verwalten des Zugriffs auf öffentliche und private Endpunkte
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Sie können Unternehmensanwendungen, Anwendungsregistrierungen, bedingten Zugriff oder Anwendungsproxyeinstellungen nicht verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.directory/applicationPolicies/standard/read | Lesen der Standardeigenschaften von Anwendungsrichtlinien |
| microsoft.directory/applications/applicationProxy/read | Lesen aller Anwendungsproxyeigenschaften |
| microsoft.directory/applications/owners/read | Lesen der Besitzer von Anwendungen |
| microsoft.directory/applications/policies/read | Lesen der Richtlinien von Anwendungen |
| microsoft.directory/applications/standard/read | Lesen der Standardeigenschaften von Anwendungen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen von Richtlinien für bedingten Zugriff |
| microsoft.directory/connectorGroups/allProperties/read | Lesen aller Eigenschaften privater Netzwerkkonnektorgruppen |
| microsoft.directory/connectors/allProperties/read | Lesen aller Eigenschaften privater Netzwerkconnectors |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gruppenadministrator
Benutzer mit dieser Rolle können Gruppen und die zugehörigen Einstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten. Es ist wichtig zu verstehen, dass der Benutzer durch die Zuweisung dieser Rolle alle Gruppen in der Organisation nicht nur in Outlook, sondern in verschiedenen Workloads wie Teams, SharePoint und Yammer verwalten kann. Außerdem kann der Benutzer die verschiedenen Gruppeneinstellungen in verschiedenen Verwaltungsportalen wie Microsoft Admin Center und dem Azure-Portal sowie den workloadspezifischen Portalen wie Teams Admin Center und SharePoint Admin Center verwalten.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Dauerhaftes Löschen von Gruppen, die nicht mehr wiederhergestellt werden können. |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen. |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Gasteinladender
Wenn die Benutzereinstellung Mitglieder können einladen auf „Nein“ festgelegt ist, können Benutzer in dieser Rolle Microsoft Entra B2B-Gastbenutzereinladungen verwalten. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Was ist die Microsoft Entra B2B-Zusammenarbeit?. Es sind keine anderen Berechtigungen eingeschlossen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/standard/read | Lesen grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/appRoleAssignments/read | Lesen von Anwendungsrollenzuweisungen für Benutzer |
| microsoft.directory/users/deviceForResourceAccount/read | Lesen von deviceForResourceAccount von Benutzern |
| microsoft.directory/users/directReports/read | Lesen von direkten Berichten für Benutzer |
| microsoft.directory/users/licenseDetails/read | Lesen von Lizenzdetails von Benutzern |
| microsoft.directory/users/manager/read | Lesen der Manager von Benutzern |
| microsoft.directory/users/memberOf/read | Lesen von Gruppenmitgliedschaften von Benutzern |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lesen delegierter Berechtigungszuweisungen für Benutzer |
| microsoft.directory/users/ownedDevices/read | Lesen von Geräten im Besitz von Benutzern |
| microsoft.directory/users/ownedObjects/read | Lesen von Objekten im Besitz von Benutzern |
| microsoft.directory/users/photo/read | Lesen des Fotos von Benutzern |
| microsoft.directory/users/registeredDevices/read | Lesen von registrierten Geräten von Benutzern |
| microsoft.directory/users/scopedRoleMemberOf/read | Lesen der Benutzermitgliedschaft einer Microsoft Entra-Rolle, die auf eine Verwaltungseinheit beschränkt ist |
| microsoft.directory/users/sponsors/read | Lesen von Sponsoren von Benutzern |
Helpdeskadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Kennwörter ändern, Aktualisierungstoken für ungültig erklären, Supportanfragen bei Microsoft für Azure- und Microsoft 365-Dienste verwalten und die Dienstintegrität überwachen. Wenn ein Aktualisierungstoken für ungültig erklärt wird, muss sich der Benutzer erneut anmelden. Ob ein Helpdeskadministrator das Kennwort eines Benutzers zurücksetzen und Aktualisierungstoken ungültig machen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Helpdeskadministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Helpdeskadministratoren nicht gewährt werden. So kann ein Helpdeskadministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die möglicherweise auf vertrauliche oder private Informationen oder kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
Das Delegieren von administrativen Berechtigungen für Teilmengen von Benutzern und das Anwenden von Richtlinien auf eine Teilmenge der Benutzer kann über Verwaltungseinheiten erfolgen.
Im Azure-Portal hieß diese Rolle früher „Kennwortadministrator“. Sie wurde in „Helpdesk-Administrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts. |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Hybrididentitätsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können das Setup der Bereitstellungskonfiguration von Active Directory zu Microsoft Entra ID mithilfe der Cloudbereitstellung erstellen, verwalten und bereitstellen sowie Microsoft Entra Connect, Passthrough-Authentifizierung (PTA), Kennworthashsynchronisierung (Password Hash Synchronization, PHS), nahtloses einmaliges Sign-On (nahtloses SSO) und Verbundeinstellungen verwalten. Hat keinen Zugriff zum Verwalten von Microsoft Entra Connect Health. Mit dieser Rolle können Benutzer auch Probleme beheben und Protokolle überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/create | Erstellen aller Anwendungstypen |
| microsoft.directory/applications/delete | Löschen aller Anwendungstypen |
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/applications/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die dem Anwendungsobjekt zugeordnet sind |
| microsoft.directory/applicationTemplates/instantiate | Instanziieren von Kataloganwendungen über Anwendungsvorlagen |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Lesen und Konfigurieren aller Eigenschaften des Microsoft Entra-Cloudbereitstellungsdiensts. |
| microsoft.directory/deletedItems.applications/delete | Dauerhaftes Löschen von Anwendungen, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.applications/restore | Wiederherstellen vorläufig gelöschter Anwendungen in ihrem ursprünglichen Zustand |
| microsoft.directory/domains/allProperties/read | Lesen sämtlicher Eigenschaften von Domänen |
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Verwalten einer Hybridauthentifizierungsrichtlinie in Microsoft Entra ID. |
| microsoft.directory/organization/dirSync/update | Aktualisieren der Synchronisierungseigenschaft für das Organisationsverzeichnis |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Verwalten aller Aspekte der Kennworthashsynchronisierung (PHS) in Microsoft Entra ID. |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/servicePrincipals/create | Erstellen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/delete | Löschen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/disable | Deaktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/enable | Aktivieren von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Verwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Geheimnisse und Anmeldeinformationen zur Anwendungsbereitstellung verwalten |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Starten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellung |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellung. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Verwalten von Geheimnissen und Anmeldeinformationen für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Synchronisierungsaufträge zum Starten, Neustarten und Anhalten von Cloudmandanten für die Bereitstellung von Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Erstellen und Verwalten von Synchronisierungsaufträgen und Schemas für die Bereitstellung von Cloudmandanten zu Cloudmandantenanwendungen. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/audience/update | Aktualisieren der Zielgruppeneigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/authentication/update | Aktualisieren der Authentifizierungseigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/basic/update | Aktualisieren grundlegender Eigenschaften für Dienstprinzipale |
| microsoft.directory/servicePrincipals/notes/update | Aktualisieren von Hinweisen zu Dienstprinzipalen |
| microsoft.directory/servicePrincipals/owners/update | Aktualisieren der Besitzer von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/servicePrincipals/tag/update | Aktualisieren der tag-Eigenschaft für Dienstprinzipale |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Lesen von Bereitstellungseinstellungen, die Ihrem Dienstprinzipal zugeordnet sind |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.directory/users/authorizationInfo/update | Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Identity Governance-Administrator
Benutzer mit dieser Rolle können die Microsoft Entra ID-Governance-Konfiguration verwalten. Dies schließt die Verwaltung von Zugriffspaketen, Zugriffsüberprüfungen, Katalogen und Richtlinien ein. So kann sichergestellt werden, dass der Zugriff genehmigt und überprüft wurde und Gastbenutzer entfernt werden, wenn sie keinen Zugriff mehr benötigen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Microsoft Entra ID. |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/allProperties/allTasks | (Veraltet) Erstellen und Löschen von Zugriffsüberprüfungen, Lesen und Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen und Verwalten von Zugriffsüberprüfungen für Gruppen in Microsoft Entra ID. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
Insights Administrator
Benutzer mit dieser Rolle können auf alle administrativen Funktionen in der Microsoft Viva Insights-App zugreifen. Diese Rolle kann Verzeichnisinformationen lesen, die Dienstintegrität überwachen, Supporttickets einordnen und auf die Einstellungsaspekte für Insights-Administratoren zugreifen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.insights/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte der Insights-App |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights-Analyst
Weisen Sie die Rolle Insights-Analyst den Benutzern zu, die Folgendes tun müssen:
- Analysieren von Daten in der Microsoft Viva Insights-App, sie können jedoch keine Konfigurationseinstellungen verwalten
- Erstellen, Verwalten und Ausführen von Abfragen
- Anzeigen von Grundeinstellungen und Berichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Ausführen und Verwalten von Abfragen in Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Insights Business Leader
Benutzer mit dieser Rolle können über die Microsoft Viva Insights-App auf eine Gruppe von Dashboards und Erkenntnisse zugreifen. Dies umfasst Vollzugriff auf alle Dashboards und die dargestellten Funktionen für Erkenntnisse sowie das Durchsuchen von Daten. Benutzer mit dieser Rolle haben keinen Zugriff auf die Einstellungen für die Produktkonfiguration, für die die Rolle „Insights-Administrator“ zuständig ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.insights/reports/allProperties/read | Anzeigen von Berichten und Dashboards in der Insights-App |
| microsoft.insights/programs/allProperties/update | Bereitstellen und Verwalten von Programmen in der Insights-App |
Intune-Administrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Intune Online, wenn der Dienst verfügbar ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Mit dieser Rolle können alle Sicherheitsgruppen erstellt und verwaltet werden. Der Intune-Administrator besitzt jedoch keine Administratorrechte für Office-Gruppen. Der Administrator kann also keine Besitzer oder Mitgliedschaften aller Office-Gruppen in der Organisation aktualisieren. Im Rahmen seiner Endbenutzerberechtigungen kann er allerdings die von ihm erstellte Office-Gruppe verwalten. Daher zählt jede von ihm erstellte Office-Gruppe (nicht Sicherheitsgruppe) zu seinem Kontingent von 250 Stück.
Hinweis
In der Microsoft Graph-API und Azure AD PowerShell wird diese Rolle als „Intune-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Intune-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/create | Erstellen von Geräten (Registrieren bei Microsoft Entra ID). |
| microsoft.directory/devices/delete | Löschen von Geräten aus Microsoft Entra ID |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/basic/update | Aktualisieren grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten |
| microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
| microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
| microsoft.directory/deviceLocalCredentials/password/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, einschließlich des Kennworts. |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/classification/update | Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.intune/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Kaizala-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen zum Verwalten von Einstellungen in Microsoft Kaizala, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Darüber hinaus können diese Benutzer auf Berichte zur Einführung und Nutzung von Kaizala durch Mitglieder der Organisation sowie auf Geschäftsberichte zugreifen, die mithilfe von Kaizala-Aktionen generiert wurden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissensadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Einstellungen für Wissens-, Lern- und intelligenten Features im Microsoft 365 Admin Center. Sie verfügen über ein allgemeines Verständnis der Produktsuite und der Lizenzierungsdetails und sind für die Zugriffssteuerung verantwortlich. Der Wissensadministrator kann Inhalte wie Themen, Akronyme und Lernressourcen erstellen und verwalten. Darüber hinaus können diese Benutzer Inhaltscenter erstellen, die Dienstintegrität überwachen und Service Requests erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Center |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Verwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Lesen aller Eigenschaften von Vertraulichkeitsbezeichnungen im Security and Compliance Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Wissens-Manager
Benutzer in dieser Rolle können Inhalte wie Themen, Akronyme und Lerninhalte erstellen und verwalten. Diese Benutzer sind in erster Linie für die Qualität und Struktur von Wissen zuständig. Dieser Benutzer hat vollständige Rechte für Themenverwaltungsaktionen zum Bestätigen eines Themas, Genehmigen von Bearbeitungen oder Löschen eines Themas. Diese Rolle kann auch Taxonomien im Rahmen des Begriffs „Speicherverwaltungstool“ verwalten und Inhaltscenter erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/createAsOwner | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt. |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Center |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Verwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lizenzadministrator
Benutzer mit dieser Rolle können Lizenzzuweisungen für Benutzer und Gruppen (unter Verwendung der gruppenbasierten Lizenzierung) lesen, hinzufügen, entfernen und aktualisieren sowie den Verwendungsstandort für Benutzer verwalten. Mit dieser Rolle ist es nicht möglich, Abonnements zu erwerben oder zu verwalten, Gruppen zu erstellen oder zu verwalten oder Benutzer zu erstellen oder zu verwalten (mit Ausnahme des Verwendungsstandorts). Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/usageLocation/update | Aktualisieren des Verwendungsstandorts von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Lebenszyklus-Workflowadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Lebenszyklus-Workflowadministrator zu:
- Erstellen und Verwalten aller Aspekte von Workflows und Aufgaben im Zusammenhang mit Lebenszyklus-Workflows in Microsoft Entra ID.
- Überprüfen der Ausführung geplanter Workflows
- Starten von On-Demand-Workflowausführungen
- Überprüfen von Workflowausführungsprotokollen
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Verwalten aller Aspekte von Lebenszyklus-Workflows und Aufgaben in Microsoft Entra ID. |
| microsoft.directory/organization/strongAuthentication/read | Lesen von Eigenschaften für eine sichere Authentifizierung in einer Organisation |
Nachrichtencenter-Datenschutzleseberechtigter
Benutzer mit dieser Rolle können alle Benachrichtigungen im Nachrichtencenter überwachen, einschließlich Nachrichten zum Datenschutz. Nachrichtencenter-Datenschutzleseberechtigte erhalten E-Mail-Benachrichtigungen, einschließlich Nachrichten zum Datenschutz, und können Benachrichtigungen mithilfe der Einstellungen im Nachrichtencenter abbestellen. Nur der globale Administrator und Nachrichtencenter-Datenschutzleseberechtigte können Nachrichten zum Datenschutz lesen. Darüber hinaus umfasst diese Rolle die Berechtigung zum Anzeigen von Gruppen, Domänen und Abonnements. Diese Rolle umfasst keine Berechtigung zum Anzeigen, Erstellen oder Verwalten von Service Requests.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.messageCenter/securityMessages/read | Lesen von Sicherheitsmeldungen im Nachrichtencenter im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Nachrichtencenter-Leser
Benutzer mit dieser Rolle können Benachrichtigungen und empfohlene Integritätsupdates für ihre Organisation und die konfigurierten Dienste wie Exchange, Intune und Microsoft Teams im Nachrichtencenter überwachen. Nachrichtencenter-Leser erhalten eine wöchentliche E-Mail-Übersicht der Beiträge und Updates und können Beiträge in Microsoft 365 teilen. In Microsoft Entra ID haben Benutzer, denen diese Rolle zugewiesen wurde, nur schreibgeschützten Zugriff auf Microsoft Entra-Dienste wie Benutzer und Gruppen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft 365-Migrationsadministrator*in
Weisen Sie Benutzer*innen, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft 365-Migrationsadministrator*in“ zu:
- Verwenden des Migrations-Managers in Microsoft 365 Admin Center zum Verwalten der Inhaltsmigration zu Microsoft 365 (einschließlich Teams, OneDrive for Business und SharePoint-Websites von Google Drive, Dropbox, Box und Egnyte)
- Auswählen von Migrationsquellen, Erstellen von Migrationsinventaren (z. B. Google Drive-Benutzerlisten), Planen und Durchführen von Migrationen sowie Herunterladen von Berichten
- Erstellen neuer SharePoint-Websites (wenn die Zielwebsites noch nicht vorhanden sind), Erstellen von SharePoint-Listen unter den SharePoint-Administratorwebsites sowie Erstellen und Aktualisieren von Elementen in SharePoint-Listen
- Verwalten von Migrationsprojekteinstellungen und Migrationslebenszyklen für Aufgaben
- Verwalten von Berechtigungszuordnungen von Quelle zu Ziel
Hinweis
Mit dieser Rolle können Sie nicht über SharePoint Admin Center aus Dateifreigabequellen migrieren. Sie können die SharePoint-Administratorrolle verwenden, um aus Dateifreigabequellen zu migrieren.
| Aktionen | Beschreibung |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Microsoft 365-Migrationen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
Lokaler Administrator des in Microsoft Entra eingebundenen Geräts
Diese Rolle kann nur als zusätzlicher lokaler Administrator in den Geräteeinstellungen zugewiesen werden. Benutzer mit dieser Rolle werden auf allen Windows 10-Geräten, die in Microsoft Entra ID eingebunden sind, als Administratoren für den lokalen Computer festgelegt. Sie haben nicht die Möglichkeit zum Verwalten von Geräteobjekten in Microsoft Entra ID.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groupSettings/standard/read | Lesen grundlegender Eigenschaften für Gruppeneinstellungen |
| microsoft.directory/groupSettingTemplates/standard/read | Lesen grundlegender Eigenschaften von Vorlagen für Gruppeneinstellungen |
Microsoft-Hardwaregarantieadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft-Hardwaregarantieadministrator“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Suchen nach und Lesen von offenen oder abgeschlossenen Garantieansprüchen
- Suchen nach und Lesen von Garantieansprüchen nach Seriennummer
- Erstellen, Lesen, Aktualisieren und Löschen von Lieferadressen
- Lesen des Lieferstatus für offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Lesen von Ankündigungen des Nachrichtencenters im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Versandadressen für Microsoft-Hardwaregarantieansprüche erstellen, lesen, aktualisieren und löschen, einschließlich Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Alle Aspekte von Microsoft-Hardwaregarantieansprüchen erstellen und verwalten |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Microsoft Hardware Warranty Specialist
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Microsoft Hardware Warranty Specialist“ zu:
- Erstellen von neuen Garantieansprüchen für von Microsoft hergestellte Hardware wie Surface und HoloLens
- Lesen der von ihnen erstellten Garantieansprüche
- Lesen und Aktualisieren vorhandener Lieferadressen
- Lesen des Lieferstatus für von ihnen erstellte offene Garantieansprüche
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
Ein Garantieanspruch ist eine Forderung nach Reparatur oder Austausch/Ersatz der Hardware gemäß den Garantiebedingungen. Weitere Informationen finden Sie unter Self-Service für Garantie und Serviceanfragen für Ihre Surface-Hardware.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Versandadressen für Microsoft-Hardwaregarantieansprüche lesen, einschließlich vorhandener Versandadressen, die von anderen Benutzern erstellt wurden |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Microsoft-Hardwaregarantieansprüche erstellen, bei denen der Ersteller der Besitzer ist |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.hardware.support/shippingStatus/allProperties/read | Versandstatus für offene Microsoft-Hardwaregarantieansprüche lesen |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft-Hardwaregarantieansprüche lesen |
Moderner Commerceadministrator
Darf nicht verwendet werden. Diese Rolle wird automatisch von Commerce zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt. Die Details hierzu finden Sie unten.
Mit der Rolle „Moderner Commerceadministrator“ sind bestimmte Benutzer berechtigt, auf Microsoft 365 Admin Center zuzugreifen und die linken Navigationseinträge für Home, Abrechnung und Support anzuzeigen. Der in diesen Bereichen verfügbare Inhalt wird von commercespezifischen Rollen gesteuert, die Benutzern zugewiesen werden, um Produkte zu verwalten, die sie für sich selbst oder für Ihre Organisation gekauft haben. Dies kann Aufgaben wie das Bezahlen von Rechnungen oder den Zugriff auf Abrechnungskonten und Abrechnungsprofile umfassen.
Benutzer mit der Rolle „Moderner Commerce-Administrator“ verfügen in der Regel über administrative Berechtigungen in anderen Microsoft-Einkaufssystemen, jedoch nicht über die Rollen „Unternehmensadministrator“ oder „Abrechnungsadministrator“, die für den Zugriff auf Admin Center verwendet werden.
Wann wird die Rolle „Moderner Commerceadministrator“ zugewiesen?
- Self-Service-Käufe in Microsoft 365 Admin Center: Self-Service-Käufe bieten Benutzern die Möglichkeit, neue Produkte zu testen, indem sie sich diese Produkte selbst kaufen oder sich dafür registrieren. Diese Produkte werden in Admin Center verwaltet. Benutzern, die einen Self-Service-Kauf tätigen, wird eine Rolle im Commerce System und die Rolle „Moderner Commerceadministrator“ zugewiesen, damit sie ihre Käufe in Admin Center verwalten können. Administrator*innen können über PowerShell Self-Service-Käufe (für Fabric, Power BI, Power Apps, Power Automate) blockieren. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Self-Service-Einkäufen.
- Käufe über den kommerziellen Microsoft Marketplace: Wenn ein Benutzer ein Produkt oder einen Dienst von Microsoft AppSource oder Azure Marketplace kauft, wird ähnlich wie beim Self-Service-Kauf die Rolle „Moderner Commerce-Administrator“ zugewiesen, wenn er nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt. In einigen Fällen werden Benutzer möglicherweise daran gehindert, diese Käufe durchzuführen. Weitere Informationen finden Sie unter Kommerzieller Microsoft Marketplace.
- Vorschläge von Microsoft: Ein Vorschlag ist ein formales Angebot von Microsoft für Ihre Organisation für den Kauf von Microsoft-Produkten und -Diensten. Wenn der Benutzer, der den Vorschlag annimmt, in Microsoft Entra ID nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt, wird ihm eine commercespezifische Rolle zugewiesen, um den Vorschlag abzuschließen. Darüber hinaus erhält er die Rolle Moderner Commerce-Administrator für den Zugriff auf das Admin Center. Wenn diese Person auf Admin Center zugreifen, kann sie nur Funktionen verwenden, die von ihrer commercespezifischen Rolle autorisiert werden.
- Commercespezifische Rollen: Einigen Benutzern werden commercespezifische Rollen zugewiesen. Wenn ein Benutzer kein globaler Administrator oder Abrechnungsadministrator ist, erhält er die Rolle „Modern Commerce-Benutzer“, damit er auf Admin Center zugreifen kann.
Wenn die Zuweisung der Rolle „Moderner Commerceadministrator“ für einen Benutzer aufgehoben wird, verliert er den Zugriff auf Microsoft 365 Admin Center. Wenn er Produkte entweder für sich selbst oder für Ihre Organisation verwaltet hat, kann er die Verwaltung nicht fortsetzen. Dies kann das Zuweisen von Lizenzen, das Ändern von Zahlungsmethoden, das Bezahlen von Rechnungen oder andere Aufgaben zum Verwalten von Abonnements umfassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Verwalten sämtlicher Aspekte des Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/basic/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Netzwerkadministrator
Benutzer mit dieser Rolle können Empfehlungen zur Netzwerkumkreisarchitektur von Microsoft überprüfen, die auf Netzwerktelemetriedaten von ihren Benutzerstandorten basieren. Die Netzwerkleistung für Microsoft 365 basiert auf einer sorgfältigen Netzwerkumkreisarchitektur für Unternehmenskunden, die im Allgemeinen für den Benutzerstandort spezifisch ist. Diese Rolle ermöglicht das Bearbeiten von ermittelten Benutzerstandorten und das Konfigurieren von Netzwerkparametern für diese Standorte, um verbesserte Telemetriemessungen und Entwurfsempfehlungen zu ermöglichen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Verwalten sämtlicher Aspekte von Netzwerkstandorten |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Office-Apps-Administrator
Benutzer mit dieser Rolle können die Cloudeinstellungen von Microsoft 365-Apps verwalten. Dazu gehören die Verwaltung von Cloudrichtlinien, die Self-Service-Downloadverwaltung und die Möglichkeit, Office-Apps-bezogene Berichte anzuzeigen. Diese Rolle ermöglicht es außerdem, Supporttickets zu verwalten und die Dienstintegrität im Haupt-Admin Center zu überwachen. Benutzer, denen diese Rolle zugewiesen ist, können außerdem Mitteilungen zu neuen Features in Office-Apps verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.userCommunication/allEntities/allTasks | Lesen und Aktualisieren der Sichtbarkeit von Meldungen zu neuen Features |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Organisationsbrandingadministrator
Weisen Sie die Rolle „Organisationsbrandingadministrator“ Benutzern zu, die die folgenden Aufgaben ausführen müssen:
- Verwalten Sie alle Aspekte des Organisationsbrandings in einem Mandanten
- Lesen, Erstellen, Aktualisieren und Löschen von Brandingdesigns
- Verwalten des standardmäßigen Brandingdesigns und aller Brandinglokalisierungsdesigns
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Erstellen und Löschen von „loginTenantBranding“ sowie Lesen und Aktualisieren aller Eigenschaften |
Genehmigende Person für Organisationsnachrichten
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Genehmigende Person für Organisationsnachrichten“ zu:
- Überprüfen, Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center, bevor sie über die Plattform für Microsoft 365-Organisationsnachrichten an Benutzer gesendet werden
- Lesen aller Aspekte in Bezug auf Organisationsnachrichten
- Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
| Aktionen | Beschreibung |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lesen aller Aspekte in Bezug auf Microsoft 365-Organisationsnachrichten |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Genehmigen oder Ablehnen neuer Organisationsnachrichten für die Zustellung im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Schreiber für Organisationsnachrichten
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Schreiber für Organisationsnachrichten“ zu:
- Schreiben, Veröffentlichen und Löschen von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Verwalten von Optionen für die Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Lesen der Ergebnisse der Übermittlung von Organisationsnachrichten im Microsoft 365 Admin Center oder mit Microsoft Intune
- Anzeigen von Verwendungsberichten und der meisten Einstellungen im Microsoft 365 Admin Center. Änderungen können aber nicht vorgenommen werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Verwalten aller Aspekte in Bezug auf die Erstellung von Microsoft 365-Organisationsnachrichten |
| microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Partnersupport der Ebene 1
Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Partnersupport der Ebene 2
Dies ist eine privilegierte Rolle. Nicht verwenden.. Diese Rolle wurde als veraltet markiert und wird zukünftig aus Microsoft Entra ID entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.
Wichtig
Diese Rolle kann für Benutzer mit und ohne Administratorrechte (einschließlich globale Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle sollte nicht verwendet werden, da sie veraltet ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/appRoles/update | Aktualisieren der appRoles-Eigenschaft für alle Anwendungstypen |
| microsoft.directory/applications/audience/update | Aktualisieren der audience-Eigenschaft für Anwendungen |
| microsoft.directory/applications/authentication/update | Aktualisieren der Authentifizierung für alle Anwendungstypen |
| microsoft.directory/applications/basic/update | Aktualisieren grundlegender Eigenschaften für Anwendungen |
| microsoft.directory/applications/credentials/update | Aktualisieren von Anwendungsanmeldeinformationen |
| microsoft.directory/applications/notes/update | Aktualisieren von Anwendungshinweisen |
| microsoft.directory/applications/owners/update | Aktualisieren von Anwendungsbesitzern |
| microsoft.directory/applications/permissions/update | Aktualisieren von verfügbar gemachten und erforderlichen Berechtigungen für alle Anwendungstypen |
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/applications/tag/update | Aktualisieren von Anwendungstags |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/domains/allProperties/allTasks | Erstellen und Löschen von Domänen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/organization/basic/update | Aktualisieren grundlegender Eigenschaften für Organisationen |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/subscribedSkus/standard/read | Lesen grundlegender Eigenschaften für Abonnements |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Kennwortadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle haben eingeschränkte Möglichkeiten zum Verwalten von Kennwörtern. Mit dieser Rolle werden keine Berechtigungen zum Verwalten von Dienstanforderungen oder zum Überwachen der Dienstintegrität gewährt. Ob ein Kennwortadministrator das Kennwort eines Benutzers zurücksetzen kann, hängt von der Rolle ab, die dem Benutzer zugewiesen ist. Eine Liste der Rollen, für die ein Kennwortadministrator Kennwörter zurücksetzen kann, finden Sie unter Wer kann Kennwörter zurücksetzen?
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Berechtigungsverwaltungsadministrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Berechtigungsverwaltungsadministrator“ zu:
- Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung, sofern der Dienst vorhanden ist
Weitere Informationen zu Berechtigungsverwaltungsrollen und -richtlinien finden Sie im Artikel zum Anzeigen von Informationen zu Rollen/Richtlinien.
| Aktionen | Beschreibung |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Verwalten aller Aspekte der Microsoft Entra-Berechtigungsverwaltung |
Power Platform-Administrator
Benutzer in dieser Rolle können alle Aspekte von Umgebungen, Power Apps, Flows und Richtlinien zur Verhinderung von Datenverlust erstellen und verwalten. Darüber hinaus verfügen Benutzer mit dieser Rolle über die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.dynamics365/allEntities/allTasks | Verwalten sämtlicher Aspekte von Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.powerApps/allEntities/allTasks | Verwalten sämtlicher Aspekte von Power Apps |
Druckeradministrator
Benutzer mit dieser Rolle können Drucker registrieren und alle Aspekte sämtlicher Druckerkonfigurationen in der Microsoft-Lösung für universelles Drucken verwalten, einschließlich der Connectoreinstellungen für universelles Drucken. Sie können in alle delegierten Druckberechtigungsanforderungen einwilligen. Druckeradministratoren haben außerdem Zugriff auf Druckberichte.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Erstellen und Löschen von Druckern und Connectors sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Print |
Druckertechniker
Benutzer mit dieser Rolle können Drucker registrieren und den Druckerstatus in der Microsoft-Lösung für universelles Drucken verwalten. Sie können außerdem alle Connectorinformationen lesen. Zu den Hauptaufgaben, die ein Druckertechniker nicht ausführen kann, gehören das Festlegen von Benutzerberechtigungen für Drucker sowie das Freigeben von Druckern.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Lesen aller Eigenschaften von Connectors in Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Lesen aller Eigenschaften von Druckern in Microsoft Print |
| microsoft.azure.print/printers/register | Registrieren von Druckern in Microsoft Print |
| microsoft.azure.print/printers/unregister | Aufheben der Registrierung von Druckern in Microsoft Print |
| microsoft.azure.print/printers/basic/update | Aktualisieren grundlegender Eigenschaften von Druckern in Microsoft Print |
Privilegierter Authentifizierungsadministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „privilegierter Authentifizierungsadministrator“ zu:
- Festlegen oder Zurücksetzen aller Authentifizierungsmethoden (einschließlich Kennwörter) für jeden Benutzer (einschließlich globale Administratoren).
- Löschen oder Wiederherstellen von Benutzern, einschließlich globaler Administratoren. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erzwingen einer erneuten Registrierung von Benutzern anhand von vorhandenen Anmeldeinformationen ohne Kennwort (z. B. MFA oder FIDO) und Widerrufen der Einstellung Speichern der MFA auf dem Gerät, sodass alle Benutzer beim nächsten Anmeldevorgang zur MFA aufgefordert werden.
- Aktualisieren vertraulicher Eigenschaften für alle Benutzer. Weitere Informationen finden Sie unter Wer kann vertrauliche Aktionen durchführen?.
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center.
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten der MFA pro Benutzer im Legacy-MFA-Verwaltungsportal.
In der folgenden Tabelle werden die Funktionen von authentifizierungsbezogenen Rollen verglichen.
| Role | Verwalten der Authentifizierungsmethoden der Benutzerinnen und Benutzer | Verwalten der MFA pro Benutzerin bzw. Benutzer | Verwalten von MFA-Einstellungen | Verwalten der Authentifizierungsmethodenrichtlinie | Verwalten der Kennwortschutzrichtlinie | Aktualisieren vertraulicher Eigenschaften | Löschen und Wiederherstellen von Benutzerinnen und Benutzern |
|---|---|---|---|---|---|---|---|
| Authentifizierungsadministrator | Ja, für einige Benutzer | Ja, für einige Benutzer | Nein | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
| Privilegierter Authentifizierungsadministrator | Ja, für alle Benutzer | Ja, für alle Benutzer | Nein | Nr. | Nein | Ja, für alle Benutzer | Ja, für alle Benutzer |
| Authentifizierungsrichtlinienadministrator | Nein | Nein | Ja | Ja | Ja | Nr. | Nein |
| Benutzeradministrator | Nein | Nr. | Nr. | Nr. | Nein | Ja, für einige Benutzer | Ja, für einige Benutzer |
Wichtig
Benutzer mit dieser Rolle können Anmeldeinformationen für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Das bedeutet, dass Benutzer, die Anmeldeinformationen ändern können, ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen können. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Auf diesem Weg kann ein Authentifizierungsadministrator die Identität eines Anwendungsbesitzers annehmen und dann durch Aktualisieren der Anmeldeinformationen für die Anwendung die Identität einer privilegierten Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender- und Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Aktualisieren der Authentifizierungsmethoden für Benutzer*innen |
| microsoft.directory/users/authenticationMethods/delete | Löschen von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/standard/read | Lesen der Standardeigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/users/authenticationMethods/basic/update | Aktualisieren der grundlegenden Eigenschaften von Authentifizierungsmethoden für Benutzer |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/authorizationInfo/update | Aktualisieren der mehrwertigen Eigenschaft „Zertifikatbenutzer-IDs“ von Benutzern |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für privilegierte Rollen
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Rollenzuweisungen sowohl in Microsoft Entra ID als auch innerhalb von Privileged Identity Management (PIM) von Microsoft Entra verwalten. Sie können Gruppen erstellen und verwalten, die Microsoft Entra-Rollen zugewiesen werden können. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von Privileged Identity Management und administrativer Einheiten.
Wichtig
Diese Rolle ermöglicht die Verwaltung von Zuweisungen für alle Microsoft Entra-Rollen, einschließlich der globalen Administratorrolle. Diese Rolle umfasst keine anderen privilegierten Funktionen in Microsoft Entra ID wie das Erstellen oder Aktualisieren von Benutzern. Benutzer, die dieser Rolle zugewiesen sind, können sich selbst oder anderen jedoch zusätzliche Berechtigungen gewähren, indem sie zusätzliche Rollen zuweisen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Anwendungsrollenzuweisungen in Microsoft Entra ID. |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Microsoft Entra-Rollenzuweisungen. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Gruppen, die Microsoft Entra-Rollen zugewiesen werden können. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Erstellen und Verwalten von Verwaltungseinheiten (einschließlich Mitgliedern). |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Verwalten sämtlicher Aspekte der Autorisierungsrichtlinie |
| microsoft.directory/directoryRoles/allProperties/allTasks | Erstellen und Löschen von Verzeichnisrollen sowie Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/groupsAssignableToRoles/create | Erstellen einer Gruppe, der Rollen zugeordnet werden können |
| microsoft.directory/groupsAssignableToRoles/delete | Löschen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/restore | Wiederherstellen von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aktualisieren von Gruppen, denen Rollen zugeordnet werden können |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Zuweisung einer Lizenz an Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen an Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Erstellen und Löschen von Rollenzuweisungen und Lesen und Aktualisieren aller Rollenzuweisungseigenschaften |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Erstellen und Löschen von Rollendefinitionen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Erstellen und Löschen von scopedRoleMemberships und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/servicePrincipals/permissions/update | Aktualisieren der Berechtigungen von Dienstprinzipalen |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Erteilen der Zustimmung zu einer beliebigen Berechtigung für eine beliebige Anwendung |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.directory/permissionGrantPolicies/create | Erstellen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/delete | Löschen von Richtlinien für die Berechtigungszuweisung |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Alle Eigenschaften von Richtlinien zur Berechtigungszuweisung lesen |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Alle Eigenschaften von Richtlinien zur Berechtigungszuweisung aktualisieren |
Meldet Reader
Benutzer*innen mit dieser Rolle können Nutzungsberichtsdaten und das Berichtsdashboard im Microsoft 365 Admin Center sowie das Einführungskontextpaket in Fabric und Power BI anzeigen. Darüber hinaus ermöglicht die Rolle den Zugriff auf alle Anmeldeprotokolle, Prüfprotokolle und Aktivitätsberichte in Microsoft Entra ID und von der Microsoft Graph-Berichterstellungs-API zurückgegebene Daten. Ein Benutzer, dem die Rolle „Meldet Reader“ zugewiesen ist, kann nur auf relevante Nutzungs- und Anpassungsmetriken zugreifen. Sie verfügen nicht über Administratorrechte, um Einstellungen zu konfigurieren oder auf produktspezifische Verwaltungskonsolen wie das Exchange Admin Center zuzugreifen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Suchadministrator
Benutzer mit dieser Rolle haben Vollzugriff auf alle Microsoft Search-Verwaltungsfunktionen im Microsoft 365 Admin Center. Darüber hinaus können diese Benutzer das Nachrichtencenter anzeigen, die Dienstintegrität überwachen und Service Requests erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Such-Editor
Benutzer mit dieser Rolle können Inhalte für Microsoft Search im Microsoft 365 Admin Center erstellen, verwalten und löschen. Hierzu gehören Inhalte wie Lesezeichen, Fragen und Antworten sowie Standorte.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.search/content/manage | Erstellen und Löschen von Inhalten sowie Lesen und Aktualisieren aller Eigenschaften in Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Sicherheitsadministrator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle verfügen über Berechtigungen zum Verwalten sicherheitsbezogener Features im Microsoft 365 Defender-Portal, in Microsoft Entra ID, inder Microsoft Entra-Authentifizierung, in Azure Information Protection und im Microsoft Purview-Complianceportal. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Überwachen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Verwalten von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
| Schutz der Identität (Identity Protection) | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge außer des Zurücksetzens von Kennwörtern |
| Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Kann keine Microsoft Entra-Rollenzuweisungen oder -Einstellungen verwalten |
| Grundlegendes zum Microsoft Purview-Complianceportal | Verwalten von Sicherheitsrichtlinien Anzeigen, Untersuchen und Reagieren auf Sicherheitsbedrohungen Berichte anzeigen |
| Azure Advanced Threat Protection | Überwachen und Reagieren auf verdächtige Sicherheitsaktivitäten |
| Microsoft Defender für den Endpunkt | Zuweisen von Rollen Verwalten von Computergruppen Konfigurieren der Endpunkt-Bedrohungserkennung und der automatisierten Korrektur Anzeigen, Untersuchen und Reagieren auf Warnungen Anzeigen des Computer-/Gerätebestands |
| Intune | Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen |
| Microsoft Defender für Cloud-Apps | Hinzufügen von Administratoren, Richtlinien und Einstellungen, Hochladen von Protokollen und Ausführen von Governanceaktionen |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Smart Lockout | Hiermit werden der Schwellenwert und die Dauer für Sperren definiert, wenn fehlerhafte Anmeldeereignisse auftreten. |
| Kennwortschutz | Konfigurieren Sie die benutzerdefinierte Liste der gesperrten Kennwörter oder lokalen Kennwortschutz. |
| Mandantenübergreifende Synchronisierung | Konfigurieren Sie mandantenübergreifende Zugriffseinstellungen für Benutzer*innen in einem anderen Mandanten. Sicherheitsadministrator*innen können Benutzer*innen nicht direkt erstellen und löschen, aber synchronisierte Benutzer*innen aus einem anderen Mandanten indirekt erstellen und löschen, wenn beide Mandanten für die mandantenübergreifende Synchronisierung konfiguriert sind. Dabei handelt es sich um eine privilegierte Berechtigung. |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/applications/policies/update | Aktualisieren von Anwendungsrichtlinien |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aktualisieren grundlegender Einstellungen der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Aktualisieren mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähige Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Zurücksetzen mandantenübergreifender Synchronisierungsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Aktualisieren mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Zurücksetzen mandantenübergreifender Zugriffsrichtlinienvorlage einer mandantenfähigen Organisation auf Standardeinstellungen |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Mandantenübergreifende Synchronisierungsrichtlinie für Partner erstellen |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Grundeinstellungen einer mandantenübergreifenden Synchronisierungsrichtlinie aktualisieren |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Grundlegende Eigenschaften einer mandantenübergreifenden Synchronisierungsrichtlinie lesen |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts. |
| microsoft.directory/domains/federation/update | Aktualisieren der Verbundeigenschaft von Domänen |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/basic/update | Aktualisieren der grundlegenden Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/create | Erstellen einer Verbundkonfiguration für Domänen |
| microsoft.directory/domains/federationConfiguration/delete | Löschen einer Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Microsoft Entra ID Protection. |
| microsoft.directory/identityProtection/allProperties/update | Aktualisieren aller Ressourcen in Microsoft Entra ID Protection. |
| microsoft.directory/multiTenantOrganization/basic/update | Aktualisieren grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/create | Erstellen einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Beitreten zu einer Organisation mit mehreren Mandanten |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/standard/read | Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Aktualisieren der grundlegenden Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/create | Erstellen eines Mandanten in einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/delete | Löschen eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/policies/create | Erstellen von Richtlinien in Microsoft Entra ID. |
| microsoft.directory/policies/delete | Löschen von Richtlinien in Microsoft Entra ID. |
| microsoft.directory/policies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/update | Aktualisieren der Besitzer von Richtlinien |
| microsoft.directory/policies/tenantDefault/update | Aktualisieren von Standardorganisationsrichtlinien |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aktualisieren der Besitzer von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aktualisieren des Standardmandanten für Richtlinien für bedingten Zugriff |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
| microsoft.directory/servicePrincipals/policies/update | Aktualisieren der Richtlinien für Dienstprinzipale |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Verwalten aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/allEntities/basic/update | Aktualisieren der grundlegenden Eigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Erstellen und Verwalten von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Erstellen und Verwalten von Angriffssimulationsvorlagen im Angriffssimulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Sicherheitsoperator
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle können Warnungen verwalten und besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features. Dies schließt sämtliche Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection, im Privileged Identity Management und im Microsoft Purview-Complianceportal ein. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Warnungen zu Sicherheitsbedrohungen Verwalten von Sicherheitseinstellungen in Microsoft 365 Defender-Portal |
| Schutz der Identität (Identity Protection) | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Ausführen aller Identity Protection-Vorgänge, mit Ausnahme des Konfigurierens oder Änderns risikobasierter Richtlinien, des Zurücksetzens von Kennwörtern und des Konfigurierens von Warnungs-E-Mails |
| Privileged Identity Management | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
| Grundlegendes zum Microsoft Purview-Complianceportal | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
| Microsoft Defender für den Endpunkt | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
| Intune | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ |
| Microsoft Defender für Cloud-Apps | Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Anzeigen und Untersuchen von sowie Reagieren auf Sicherheitswarnungen |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Defender for Cloud Apps |
| microsoft.directory/identityProtection/allProperties/allTasks | Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften in Microsoft Entra ID Protection. |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.intune/allEntities/read | Lesen aller Ressourcen in Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Erstellen und Löschen aller Ressourcen und Lesen und Aktualisieren von Standardeigenschaften im Office 365 Security & Compliance Center. |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Verwalten sämtlicher Aspekte von Microsoft Defender für Endpunkt |
Sicherheitsleseberechtigter
Dies ist eine privilegierte Rolle. Benutzer mit dieser Rolle besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich alle Informationen im Microsoft 365 Defender-Portal, in Microsoft Entra ID Protection und im Privileged Identity Management. Darüber hinaus können sie Anmeldeberichte und Überwachungsprotokolle in Microsoft Entra und im Microsoft Purview-Complianceportal lesen. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
| Geben Sie in | Möglich |
|---|---|
| Microsoft 365 Defender-Portal | Anzeigen von sicherheitsrelevanten Richtlinien in Microsoft 365-Diensten Anzeigen von Sicherheitsbedrohungen und Warnungen Berichte anzeigen |
| Schutz der Identität (Identity Protection) | Anzeigen aller Identity Protection-Berichte und der Übersicht |
| Privileged Identity Management | Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen im Privileged Identity Management von Microsoft Entra: Richtlinien und Berichte für Microsoft Entra-Rollenzuweisungen und Sicherheitsüberprüfungen. Kann sich nicht für das Privileged Identity Management von Microsoft Entra registrieren oder Änderungen daran vornehmen. Im Privileged Identity Management-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z. B. „Globaler Administrator“ oder „Administrator für privilegierte Rollen“) aktivieren, wenn der Benutzer dazu berechtigt ist. |
| Grundlegendes zum Microsoft Purview-Complianceportal | Anzeigen von Sicherheitsrichtlinien Anzeigen und Untersuchen von Sicherheitsbedrohungen Berichte anzeigen |
| Microsoft Defender für den Endpunkt | Anzeigen und Untersuchen von Warnungen Wenn Sie in Microsoft Defender for Endpoint die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit reinen Leseberechtigungen (z. B. Benutzer mit der Rolle „Sicherheitsleseberechtigter“) den Zugriff, bis ihnen eine Microsoft Defender for Endpoint-Rolle zugewiesen wird. |
| Intune | Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und Anwendungsinformationen Kann keine Änderungen an Intune vornehmen |
| Microsoft Defender für Cloud-Apps | Besitzt Leserechte. |
| Microsoft 365-Dienststatus | Anzeigen des Status von Microsoft 365-Diensten |
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen sämtlicher überprüfbarer Ressourcen in Microsoft Entra ID. |
| microsoft.directory/auditLogs/allProperties/read | Lesen aller Eigenschaften in Überwachungsprotokollen, mit Ausnahme von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/deviceLocalCredentials/standard/read | Lesen aller Eigenschaften der gesicherten Anmeldeinformationen des lokalen Administratorkontos für in Microsoft Entra eingebundene Geräte, ausschließlich des Kennworts. |
| microsoft.directory/domains/federationConfiguration/standard/read | Lesen von Standardeigenschaften der Verbundkonfiguration für Domänen |
| microsoft.directory/entitlementManagement/allProperties/read | Lesen aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/identityProtection/allProperties/read | Lesen aller Ressourcen in Microsoft Entra ID Protection. |
| microsoft.directory/namedLocations/standard/read | Lesen der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren. |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/policies/owners/read | Lesen der Besitzer von Richtlinien |
| microsoft.directory/policies/policyAppliedTo/read | Lesen der policies.policyAppliedTo-Eigenschaft |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lesen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/owners/read | Lesen der Besitzer von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Lesen der Eigenschaft „Angewendet auf“ für Richtlinien für bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Synchronisierungsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Lesen grundlegender Eigenschaften mandantenübergreifender Zugriffsrichtlinienvorlagen einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Lesen von Eigenschaften einer Beitrittsanforderung einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/standard/read | Lesen grundlegender Eigenschaften einer mandantenfähigen Organisation |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Lesen der Organisationsdetails eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Lesen grundlegender Eigenschaften eines Mandanten, der an einer mandantenfähigen Organisation teilnimmt |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Lesen aller Ressourcen in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lesen aller Eigenschaften von Bereitstellungsprotokollen |
| microsoft.directory/signInReports/allProperties/read | Lesen sämtlicher Eigenschaften für Anmeldeberichte (einschließlich privilegierter Eigenschaften) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.networkAccess/allEntities/allProperties/read | Lesen aller Aspekte des Microsoft Entra-Netzwerkzugriffs |
| microsoft.office365.protectionCenter/allEntities/standard/read | Lesen der Standardeigenschaften aller Ressourcen im Security & Compliance Center |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Lesen aller Eigenschaften von Angriffsnutzdaten im Angriffssimulator |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lesen von Berichten zu Angriffssimulationen, Reaktionen und zugehörigen Schulungsunterlagen |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Lesen aller Eigenschaften von Angriffssimulationsvorlagen im Angriffssimulator |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Dienstunterstützungsadministrator
Benutzer mit dieser Rolle können bei Microsoft Supportanfragen für Azure- und Microsoft 365-Dienste erstellen und verwalten sowie das Dienstdashboard und Nachrichtencenter im Azure-Portal und im Microsoft 365 Admin Center anzeigen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
Bisher wurde diese Rolle im Azure-Portal und im Microsoft 365 Admin Center als „Dienstadministrator“ bezeichnet. Sie wurde in „Dienstunterstützungsadministrator“ umbenannt, um sie der in der Microsoft Graph-API und in Azure AD PowerShell bereits vorhandenen Bezeichnung anzupassen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
SharePoint-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft SharePoint Online, wenn der Dienst verfügbar ist, und sie können alle Microsoft 365-Gruppen erstellen und verwalten, Supporttickets verwalten sowie die Dienstintegrität überwachen. Weitere Informationen finden Sie unter Administratorrollen im Microsoft 365 Admin Center.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „SharePoint-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „SharePoint-Administrator“.
Hinweis
Diese Rolle gewährt auch der Microsoft Graph-API bereichsbezogene Berechtigungen für Microsoft Intune, um die Verwaltung und Konfiguration von Richtlinien für SharePoint- und OneDrive-Ressourcen zu ermöglichen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Verwalten aller Aspekte von Microsoft 365-Migrationen |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.sharePoint/allEntities/allTasks | Erstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Skype for Business-Administrator
Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist, sowie die Berechtigung zur Verwaltung von Skype-spezifischen Benutzerattributen in Microsoft Entra ID. Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen, sowie auf die Admin Center von Teams und Skype for Business zuzugreifen. Das Konto muss auch für Teams lizenziert sein, andernfalls kann es keine PowerShell-Cmdlets von Teams ausführen. Weitere Informationen finden Sie unter Skype for Business Online-Administrator. Informationen zur Teams-Lizenzierung finden Sie unter Skype for Business-Add-On-Lizenzierung.
Hinweis
In der Microsoft Graph-API und in Azure AD PowerShell wird diese Rolle als „Lync-Dienstadministrator“ bezeichnet. Im Azure-Portal lautet sie „Skype for Business-Administrator“.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Teams-Administrator
Benutzer mit dieser Rolle können alle Aspekte der Microsoft Teams-Workload über das Admin Center von Microsoft Teams und Skype for Business und die entsprechenden PowerShell-Module verwalten. Dazu zählen unter anderem alle Verwaltungstools im Zusammenhang mit Telefonie, Messaging, Besprechungen und den Teams selbst. Außerdem bietet diese Rolle die Möglichkeit zum Erstellen und Verwalten aller Microsoft 365-Gruppen, Verwalten von Supporttickets und Überwachen der Dienstintegrität.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.azure.print/allEntities/allProperties/allTasks | Verwalten aller Ressourcen in Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lesen grundlegender Eigenschaften der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/pendingExternalUserProfiles/create | Erstellen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/standard/read | Lesen von Standardeigenschaften externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/basic/update | Aktualisieren grundlegender Eigenschaften von externen Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/externalUserProfiles/delete | Löschen externer Benutzerprofile im erweiterten Verzeichnis für Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien für die Berechtigungszuweisung |
Teams-Kommunikationsadministrator
Benutzer mit dieser Rolle können Aspekte der Microsoft Teams-Workload im Zusammenhang mit Sprache und Telefonie verwalten. Dazu gehören die Verwaltungstools für die Telefonnummernzuweisung, Sprach- und Besprechungsrichtlinien und der uneingeschränkte Zugriff auf das Toolset zur Anrufanalyse.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufsqualitäts-Dashboard |
| microsoft.teams/meetings/allProperties/allTasks | Verwalten von Besprechungen (einschließlich Besprechungsrichtlinien, Konfigurationen und Konferenzbrücken) |
| microsoft.teams/voice/allProperties/allTasks | Verwalten von Sprachanrufen (einschließlich Anrufrichtlinien sowie Verwalten und Zuweisen von Telefonnummern) |
Teams-Kommunikationssupporttechniker
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können vollständige Anrufdatensatzinformationen für alle Teilnehmer anzeigen. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/allProperties/read | Lesen sämtlicher Daten im Anrufqualitäts-Dashboard |
Teams-Kommunikationssupportspezialist
Benutzer in dieser Rolle können Kommunikationsprobleme innerhalb von Microsoft Teams und Skype for Business mithilfe der Problembehandlungstools für Benutzeranrufe im Admin Center für Microsoft Teams und Skype for Business behandeln. Benutzer in dieser Rolle können Benutzerdetails im Anruf nur für den bestimmten Benutzer anzeigen, nach dem sie gesucht haben. Diese Rolle kann keine Supporttickets anzeigen, erstellen oder verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Lesen der Standardeigenschaften der Autorisierungsrichtlinie |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Verwalten sämtlicher Aspekte von Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/callQuality/standard/read | Lesen grundlegender Daten im Anrufqualitäts-Dashboard |
Teams-Geräteadministrator
Benutzer mit dieser Rolle können im Teams Admin Center für Teams zertifizierte Geräte verwalten. Diese Rolle bietet eine Übersicht über alle Geräte, mit der Möglichkeit, Geräte zu suchen und zu filtern. Der Benutzer kann Details zu jedem Gerät überprüfen, darunter das angemeldete Konto sowie Marke und Modell des Geräts. Der Benutzer kann die Einstellungen auf dem Gerät ändern und die Softwareversionen aktualisieren. Diese Rolle gewährt keine Berechtigungen zum Überprüfen der Teams-Aktivität und der Anrufqualität des Geräts.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.teams/devices/standard/read | Verwalten sämtlicher Aspekte von in Teams zertifizierten Geräten (einschließlich Konfigurationsrichtlinien) |
Mandantenersteller
Weisen Sie die Rolle „Mandantenersteller“ Benutzern zu, die folgende Aufgabe ausführen müssen:
- Erstellen sowohl von Microsoft Entra- als auch von Azure Active Directory B2C-Mandanten, auch wenn die Umschaltfläche für die Mandantenerstellung in den Benutzereinstellungen deaktiviert ist
Hinweis
Den Mandantenerstellern wird in den von ihnen erstellten neuen Mandanten die Rolle „Globaler Administrator“ zugewiesen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Erstellen neuer Mandanten in Microsoft Entra ID. |
Leseberechtigter für Verwendungszusammenfassungsberichte
Weisen Sie Benutzer*innen, die die folgenden Aufgaben im Microsoft 365 Admin Center ausführen müssen, die Rolle „Leseberechtigter für Berichte mit Nutzungszusammenfassung“ zu:
- Anzeigen der Nutzungsberichte und der Einführungsbewertung
- Lesen von Organisationserkenntnissen, aber nicht von personenbezogenen Informationen (Personally Identifiable Information, PII) von Benutzer*innen
Mit dieser Rolle können Benutzer*innen nur Daten auf Organisationsebene mit den folgenden Ausnahmen anzeigen:
- Mitgliedsbenutzer*innen können Benutzerverwaltungsdaten und -einstellungen anzeigen.
- Gastbenutzer*innen, denen diese Rolle zugewiesen ist, können keine Benutzerverwaltungsdaten und -einstellungen anzeigen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.usageReports/allEntities/standard/read | Lesen aggregierter Office 365-Nutzungsberichte auf Mandantenebene |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Benutzeradministrator
Dies ist eine privilegierte Rolle. Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Benutzeradministrator“ zu:
| Berechtigung | Weitere Informationen |
|---|---|
| Erstellen von Benutzern | |
| Aktualisieren der meisten Benutzereigenschaften für alle Benutzer, einschließlich aller Administratoren | Wer kann vertrauliche Aktionen ausführen? |
| Aktualisieren vertraulicher Eigenschaften (einschließlich Benutzerprinzipalname) für einige Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Deaktivieren oder Aktivieren einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Löschen oder Wiederherstellen einiger Benutzer | Wer kann vertrauliche Aktionen ausführen? |
| Erstellen und Verwalten von Benutzeransichten | |
| Erstellen und Verwalten aller Gruppen | |
| Zuweisen und Lesen von Lizenzen für alle Benutzer, einschließlich aller Administratoren | |
| Zurücksetzen von Kennwörtern | Wer kann Kennwörter zurücksetzen? |
| Annullieren Sie Aktualisierungstoken. | Wer kann Kennwörter zurücksetzen? |
| Aktualisieren von Geräteschlüsseln (FIDO) | |
| Aktualisieren von Richtlinien für den Kennwortablauf | |
| Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center | |
| Überwachen der Dienstintegrität |
Benutzer mit dieser Rolle können die folgenden Aufgaben nicht ausführen:
- Verwalten von MFA.
- Ändern von Anmeldeinformationen oder Zurücksetzen der MFA für Mitglieder und Besitzer einer Gruppe, der Rollen zugewiesen werden können.
- Verwalten gemeinsam genutzter Postfächer
Wichtig
Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen innerhalb und außerhalb von Microsoft Entra ID haben. Benutzer, die Kennwörter ändern können, können ggf. auch die Identität und die Berechtigungen des betreffenden Benutzers annehmen. Beispiel:
- Besitzer von Anwendungsregistrierungen und Unternehmensanwendungen, die Anmeldeinformationen von Apps verwalten können, die sie besitzen. Diese Apps können über höhere Berechtigungen in Microsoft Entra ID und in anderen Diensten verfügen, die Benutzeradministratoren nicht gewährt werden. So kann ein Benutzeradministrator die Identität eines Anwendungsbesitzers annehmen und dann die Identität einer privilegierten Anwendung durch Aktualisieren der Anmeldeinformationen für die Anwendung annehmen.
- Besitzer von Azure-Abonnements, die ggf. auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure zugreifen können.
- Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen, die die Gruppenmitgliedschaft verwalten können. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Microsoft Entra ID und in anderen Diensten gewähren.
- Administratoren anderer Dienste außerhalb von Microsoft Entra ID, z. B. Exchange Online, Microsoft 365 Defender-Portal, Microsoft Purview-Complianceportal und Personalsysteme.
- Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen von Anwendungsrollenzuweisungen in Microsoft Entra ID. |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Microsoft Entra-Rollenzuweisungen. |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Verwalten von Zugriffsüberprüfungen für Zugriffspaketzuweisungen in der Berechtigungsverwaltung |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualisieren aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/accessReviews/definitions.groups/create | Erstellen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/delete | Löschen von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lesen aller Eigenschaften von Zugriffsüberprüfungen für Mitgliedschaften in Sicherheits- und Microsoft 365-Gruppen, einschließlich Gruppen, denen Rollen zugewiesen werden können |
| microsoft.directory/contacts/create | Erstellen von Kontakten |
| microsoft.directory/contacts/delete | Löschen von Kontakten |
| microsoft.directory/contacts/basic/update | Aktualisieren grundlegender Eigenschaften für Kontakte |
| microsoft.directory/deletedItems.groups/restore | Wiederherstellen des ursprünglichen Zustands von soft deleted-Gruppen |
| microsoft.directory/deletedItems.users/restore | Wiederherstellen vorläufig gelöschter Benutzer im ursprünglichen Zustand |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Erstellen und Löschen von Ressourcen sowie Lesen und Aktualisieren aller Eigenschaften in der Microsoft Entra-Berechtigungsverwaltung. |
| microsoft.directory/groups/assignLicense | Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/create | Erstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/delete | Löschen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung |
| microsoft.directory/groups/restore | Wiederherstellen von Gruppen aus einem vorläufig gelöschten Container |
| microsoft.directory/groups/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/classification/update | Aktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/dynamicMembershipRule/update | Aktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/groupType/update | Aktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/onPremWriteBack/update | Aktualisieren von Microsoft Entra-Gruppen, die mit Microsoft Entra Connect zurück in die lokale Umgebung geschrieben werden sollen. |
| microsoft.directory/groups/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups/settings/update | Aktualisieren von Gruppeneinstellungen |
| microsoft.directory/groups/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Erstellen und Löschen von OAuth 2.0-Berechtigungszuweisungen und Lesen und Aktualisieren aller Eigenschaften |
| microsoft.directory/policies/standard/read | Lesen grundlegender Eigenschaften für Richtlinien |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualisieren von Rollenzuweisungen für Dienstprinzipale |
| microsoft.directory/users/assignLicense | Verwalten von Benutzerlizenzen |
| microsoft.directory/users/create | Hinzufügen von Benutzern |
| microsoft.directory/users/convertExternalToInternalMemberUser | Konvertieren eines externen Benutzers in einen internen Benutzer |
| microsoft.directory/users/delete | Löschen von Benutzern |
| microsoft.directory/users/disable | Deaktivieren von Benutzern |
| microsoft.directory/users/enable | Aktivieren von Benutzern |
| microsoft.directory/users/inviteGuest | Einladen von Gastbenutzern |
| microsoft.directory/users/invalidateAllRefreshTokens | Erzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokens |
| microsoft.directory/users/reprocessLicenseAssignment | Erneutes Verarbeiten von Lizenzzuweisungen für Benutzer |
| microsoft.directory/users/restore | Wiederherstellen gelöschter Benutzer |
| microsoft.directory/users/basic/update | Aktualisieren grundlegender Eigenschaften für Benutzer |
| microsoft.directory/users/manager/update | Aktualisieren der Manager für Benutzer |
| microsoft.directory/users/password/update | Zurücksetzen der Kennwörter für alle Benutzer |
| microsoft.directory/users/photo/update | Aktualisieren des Fotos von Benutzern |
| microsoft.directory/users/sponsors/update | Aktualisieren von Sponsoren von Benutzern |
| microsoft.directory/users/usageLocation/update | Aktualisieren des Verwendungsstandorts von Benutzern |
| microsoft.directory/users/userPrincipalName/update | Aktualisieren des Benutzerprinzipalnamens von Benutzern |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Administrator für virtuelle Besuche
Benutzer mit dieser Rolle können die folgenden Aufgaben ausführen:
- Verwalten und Konfigurieren aller Aspekte virtueller Besuche in Bookings im Microsoft 365 Admin Center und im Teams EHR-Connector
- Anzeigen von Nutzungsberichten für virtuelle Besuche in Teams Admin Center, Microsoft 365 Admin Center, Fabric und Power BI
- Anzeigen von Features und Einstellungen im Microsoft 365 Admin Center, aber keine Bearbeitung von Einstellungen
Virtuelle Besuche sind eine einfache Möglichkeit, Online- und Videotermine für Mitarbeiter und Teilnehmende zu planen und zu verwalten. Beispielsweise kann die Verwendungsberichterstattung zeigen, wie durch das Senden von SMS-Textnachrichten vor Terminen die Anzahl der Personen, die Termine nicht wahrnehmen, verringert werden kann.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Verwalten und Freigeben von Informationen und Metriken zu virtuellen Besuchen über Admin Center oder die App für virtuelle Visiten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Viva Goals-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Goals-Administrator“ zu:
- Alle Aspekte der Microsoft Viva Goals-Anwendung verwalten und konfigurieren
- Microsoft Viva Goals-Administratoreinstellungen konfigurieren
- Lesen von Microsoft Entra-Mandanteninformationen.
- Microsoft 365-Dienststatus überwachen
- Erstellen und Verwalten von Microsoft 365-Serviceanforderungen
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Viva Goals und Einführung in Microsoft Viva Goals.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Goals verwalten |
Viva Pulse-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle „Viva Pulse-Administrator“ zu:
- Lesen und Konfigurieren aller Einstellungen von Viva Pulse
- Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center
- Lesen und Konfigurieren von Azure Service Health
- Erstellen und Verwalten von Azure-Supporttickets
- Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen)
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
Weitere Informationen finden Sie unter Zuweisen eines Viva Pulse-Administrators im Microsoft 365 Admin Center.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Alle Aspekte von Microsoft Viva Pulse verwalten |
Windows 365-Administrator
Benutzer mit dieser Rolle verfügen über globale Berechtigungen für Windows 365-Ressourcen, wenn der Dienst vorhanden ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten.
Diese Rolle kann Sicherheitsgruppen erstellen und verwalten, verfügt jedoch nicht über Administratorrechte für Microsoft 365-Gruppen. Das bedeutet, dass Administratoren Besitzer oder Mitgliedschaften von Microsoft 365-Gruppen in der Organisation nicht aktualisieren können. Sie können jedoch die Microsoft 365-Gruppe verwalten, die sie erstellen. Dies ist ein Teil ihrer Endbenutzerberechtigungen. Daher werden alle Microsoft 365-Gruppen (keine Sicherheitsgruppe), die sie erstellen, ihrem Kontingent von 250 angerechnet.
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Windows 365-Administrator zu:
- Verwalten von Windows 365 Cloud-PCs in Microsoft Intune
- Registrieren und Verwalten von Geräten in Microsoft Entra ID, einschließlich Zuweisen von Benutzern und Richtlinien.
- Erstellen und Verwalten von Sicherheitsgruppen, aber nicht von Rollen zuweisbaren Gruppen
- Anzeigen grundlegender Eigenschaften im Microsoft 365 Admin Center
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Supporttickets in Azure und im Microsoft 365 Admin Center
| Aktionen | Beschreibung |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Dauerhaftes Löschen von Geräten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/deletedItems.devices/restore | Wiederherstellen vorläufig gelöschter Geräte in ihrem ursprünglichen Zustand |
| microsoft.directory/devices/create | Erstellen von Geräten (Registrieren bei Microsoft Entra ID). |
| microsoft.directory/devices/delete | Löschen von Geräten aus Microsoft Entra ID |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/basic/update | Aktualisieren grundlegender Eigenschaften für Geräte |
| microsoft.directory/devices/extensionAttributeSet1/update | Aktualisieren der Eigenschaften „extensionAttribute1“ bis „extensionAttribute5“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet2/update | Aktualisieren der Eigenschaften „extensionAttribute6“ bis „extensionAttribute10“ auf Geräten |
| microsoft.directory/devices/extensionAttributeSet3/update | Aktualisieren der Eigenschaften „extensionAttribute11“ bis „extensionAttribute15“ auf Geräten |
| microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
| microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
| microsoft.directory/groups.security/create | Erstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/delete | Löschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/basic/update | Aktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/classification/update | Aktualisieren der classification-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualisieren der Regel für die dynamische Mitgliedschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/members/update | Aktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/owners/update | Aktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.security/visibility/update | Aktualisieren der visibility-Eigenschaft von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/deviceManagementPolicies/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Verwaltung von mobilen Geräten und mobilen Anwendungen |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
| microsoft.azure.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Azure-Supporttickets |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
Windows Update-Bereitstellungsadministrator
Benutzer mit dieser Rolle können alle Aspekte von Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten. Mit dem Bereitstellungsdienst können Benutzer festlegen, wann und wie Updates bereitgestellt werden, und angeben, welche Updates für Gruppen von Geräten in ihrem Mandanten angeboten werden. Darüber hinaus können Benutzer den Updatefortschritt überwachen.
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lesen und Konfigurieren aller Aspekte des Windows Update-Diensts |
Yammer-Administrator
Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Yammer-Administrator zu:
- Verwalten sämtlicher Aspekte von Yammer
- Erstellen, Verwalten und Wiederherstellen von Microsoft 365-Gruppen, aber nicht von Gruppen, denen Rollen zugewiesen werden können
- Anzeigen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen einschließlich Gruppen, denen Rollen zugewiesen werden können
- Lesen von Nutzungsberichten im Microsoft 365 Admin Center
- Erstellen und Verwalten von Dienstanforderungen im Microsoft 365 Admin Center
- Anzeigen von Ankündigungen im Nachrichtencenter, aber nicht von sicherheitsrelevanten Ankündigungen
- Anzeigen der Dienstintegrität
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lesen der ausgeblendeten Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen eingeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/create | Erstellen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/delete | Löschen von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/restore | Wiederherstellen von Microsoft 365-Gruppen aus vorläufig gelöschten Containern (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/basic/update | Aktualisieren grundlegender Eigenschaften von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/members/update | Aktualisieren der Mitglieder von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.directory/groups.unified/owners/update | Aktualisieren der Besitzer von Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) |
| microsoft.office365.messageCenter/messages/read | Lesen von Nachrichten im Nachrichtencenter im Microsoft 365 Admin Center (mit Ausnahme von Sicherheitsmeldungen) |
| microsoft.office365.network/performance/allProperties/read | Lesen aller Netzwerkleistungseigenschaften im Microsoft 365 Admin Center |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lesen und Konfigurieren von Service Health im Microsoft 365 Admin Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Erstellen und Verwalten von Microsoft 365-Serviceanforderungen |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lesen von Office 365-Nutzungsberichten |
| microsoft.office365.webPortal/allEntities/standard/read | Lesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Verwalten sämtlicher Aspekte von Yammer |
Veraltete Rollen
Die folgenden Rollen sollten nicht verwendet werden. Sie wurden als veraltet markiert und werden zukünftig aus Microsoft Entra ID entfernt.
- Ad-hoc-Lizenzadministrator
- Geräteeinbindung
- Geräte-Manager
- Gerätebenutzer
- Benutzererstellung mit E-Mail-Überprüfung
- Postfachadministrator
- Geräteeinbindung am Arbeitsplatz
Im Portal nicht angezeigte Rollen
Nicht jede Rolle, die von PowerShell oder der MS Graph-API zurückgegeben wird, wird Azure-Portal angezeigt. Diese Unterschiede sind in der folgenden Tabelle aufgelistet.
| API-Name | Name im Azure-Portal | Notizen |
|---|---|---|
| Geräteeinbindung | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Geräte-Manager | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Gerätebenutzer | Als veraltet markiert | Dokumentation zu veralteten Rollen |
| Konten zur Verzeichnissynchronisierung | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zu Konten für die Verzeichnissynchronisierung |
| Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Partnersupport der Ebene 1 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 1 |
| Partnersupport der Ebene 2 | Nicht angezeigt, da keine Verwendung erfolgen soll | Dokumentation zum Partnersupport der Ebene 2 |
| Eingeschränkter Gastbenutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Benutzer | Nicht angezeigt, weil keine Verwendung erfolgen kann | Nicht verfügbar |
| Geräteeinbindung am Arbeitsplatz | Als veraltet markiert | Dokumentation zu veralteten Rollen |