Welche Standardbenutzerberechtigungen gibt es in Azure Active Directory?

In Azure Active Directory (Azure AD) wird allen Benutzern ein Satz mit Standardberechtigungen gewährt. Der Zugriffsumfang eines Benutzers basiert auf dem Benutzertyp, den Rollenzuweisungen und dem Besitz einzelner Objekte.

In diesem Artikel werden diese Standardberechtigungen beschrieben und mit den Standardberechtigungen für Mitglieder und Gastbenutzer verglichen. Die Standardberechtigungen für Benutzer können nur in den Benutzereinstellungen in Azure AD geändert werden.

Mitglieder und Gastbenutzer

Der Satz an Standardberechtigungen richtet sich danach, ob der Benutzer ein natives Mitglied des Mandanten ist (Mitgliedsbenutzer), oder ob er als Gast im Rahmen der B2B-Zusammenarbeit (Gastbenutzer) aus einem anderen Verzeichnis übernommen wurde. Weitere Informationen zum Hinzufügen von Gastbenutzern finden Sie unter Was ist die Azure AD B2B-Zusammenarbeit?. Nachfolgend sind die Funktionen der Standardberechtigungen aufgeführt:

  • Mitgliedsbenutzer können Anwendungen registrieren, ihr eigenes Profilfoto und ihre Mobiltelefonnummer verwalten, das eigene Kennwort ändern und B2B-Gäste einladen. Außerdem können diese Benutzer (mit einigen Ausnahmen) alle Verzeichnisinformationen lesen.

  • Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen. Sie können ihr eigenes Profil verwalten, ihr eigenes Kennwort ändern und einige Informationen zu anderen Benutzern, Gruppen und Apps abrufen. Sie können jedoch nicht alle Verzeichnisinformationen lesen.

    Gastbenutzer können beispielsweise nicht alle Benutzer, Gruppen und andere Verzeichnisobjekte auflisten. Gäste können zu Administratorrollen hinzugefügt werden, wodurch ihnen volle Lese- und Schreibberechtigungen gewährt werden. Gäste können auch andere Gäste einladen.

Vergleich der Standardberechtigungen für Mitglieds- und Gastbenutzer

Bereich Berechtigungen für Mitgliedsbenutzer Standardberechtigungen für Gastbenutzer Eingeschränkte Berechtigungen für Gastbenutzer
Benutzer und Kontakte
  • Alle Benutzer und Kontakte auflisten
  • Alle öffentlichen Eigenschaften von Benutzern und Kontakten lesen
  • Gäste einladen
  • Eigenes Kennwort ändern
  • Eigene Mobiltelefonnummer verwalten
  • Eigenes Foto verwalten
  • Eigene Aktualisierungstoken für ungültig erklären
  • Eigene Eigenschaften lesen
  • Eigenschaften für Anzeigename, E-Mail-Adresse, Anmeldename, Foto, Benutzerprinzipalname und Benutzertyp anderer Benutzer und Kontakte lesen
  • Eigenes Kennwort ändern
  • Andere Benutzer nach Objekt-ID suchen (sofern zulässig)
  • Manager- und direkte Berichtsinformationen anderer Benutzer lesen
  • Eigene Eigenschaften lesen
  • Eigenes Kennwort ändern
  • Eigene Mobiltelefonnummer verwalten
Gruppen
  • Sicherheitsgruppen erstellen
  • Erstellen von Microsoft 365-Gruppen
  • Alle Gruppen auflisten
  • Alle Eigenschaften von Gruppen lesen
  • Nicht ausgeblendete Gruppenmitgliedschaften lesen
  • Ausgeblendete Microsoft 365-Gruppenmitgliedschaften für eingebundene Gruppen lesen
  • Eigenschaften, Besitz und Gruppenmitgliedschaft des Benutzers verwalten
  • Gäste zu Gruppen im Besitz des Benutzers hinzufügen
  • Einstellungen für dynamische Mitgliedschaften verwalten
  • Gruppen im Besitz des Benutzers löschen
  • Wiederherstellen von sich im Besitz befindenden Microsoft 365-Gruppen
  • Eigenschaften nicht ausgeblendeter Gruppen lesen, einschließlich Mitgliedschaft und Besitz (auch nicht eingebundene Gruppen)
  • Ausgeblendete Microsoft 365-Gruppenmitgliedschaften für eingebundene Gruppen lesen
  • Gruppen nach Anzeigename oder Objekt-ID suchen (sofern zulässig)
  • Objekt-ID für eingebundene Gruppen lesen
  • Mitgliedschaft und Besitz eingebundener Gruppen in einigen Microsoft 365-Apps (sofern zulässig) lesen
Anwendungen
  • Neue Anwendung registrieren (erstellen)
  • Alle Anwendungen auflisten
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesen
  • Anwendungseigenschaften, Zuweisungen und Anmeldeinformationen für Anwendungen im Besitz des Benutzers verwalten
  • Anwendungskennwörter für Benutzer erstellen oder löschen
  • Anwendungen im Besitz des Benutzers löschen
  • Anwendungen im Besitz des Benutzers wiederherstellen
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesen
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesen
Geräte
  • Alle Geräte auflisten
  • Alle Eigenschaften von Geräten lesen
  • Alle Eigenschaften von Geräten im Besitz des Benutzers verwalten
Keine Berechtigungen Keine Berechtigungen
Verzeichnis
  • Alle Unternehmensinformationen lesen
  • Alle Domänen lesen
  • Alle Partnerverträge lesen
  • Anzeigename des Unternehmens lesen
  • Alle Domänen lesen
  • Anzeigename des Unternehmens lesen
  • Alle Domänen lesen
Rollen und Bereiche
  • Alle administrativen Rollen und Mitgliedschaften lesen
  • Alle Eigenschaften und Mitgliedschaften von administrativen Einheiten lesen
Keine Berechtigungen Keine Berechtigungen
Abonnements
  • Alle Abonnements lesen
  • Dienstplanmitgliedschaften aktivieren
Keine Berechtigungen Keine Berechtigungen
Richtlinien
  • Alle Eigenschaften von Richtlinien lesen
  • Alle Eigenschaften von Richtlinien im Besitz des Benutzers verwalten
Keine Berechtigungen Keine Berechtigungen

Standardberechtigungen von Mitgliedsbenutzern einschränken

Es ist möglich, die Standardberechtigungen von Benutzern weiter einzuschränken. Sie können diese Funktion verwenden, wenn nicht alle Benutzer im Verzeichnis Zugriff auf das Azure AD-Verwaltungsportal/-Verzeichnis haben sollen.

Beispielsweise sind bei einer Universität viele Benutzer in deren Verzeichnis. Der Administrator möchte wahrscheinlich nicht, dass alle Studenten im Verzeichnis das vollständige Verzeichnis anzeigen und die Privatsphäre anderer Studenten verletzen können. Die Verwendung dieser Funktion ist optional und liegt im Ermessen des Azure AD-Administrators.

Die Standardberechtigungen für Mitgliedsbenutzer können auf folgende Weise eingeschränkt werden:

Berechtigung Erläuterung der Einstellung
Registrieren von Anwendungen Durch das Festlegen dieser Einstellung auf Nein werden Benutzer daran gehindert, Anwendungsregistrierungen zu erstellen. Sie können die Fähigkeit anschließend wieder bestimmten Personen gewähren, indem Sie diese der Rolle „Anwendungsentwickler“ hinzufügen.
Benutzern die Verbindungsherstellung mit LinkedIn über ihr Geschäfts-, Schul- oder Unikonto erlauben Durch das Festlegen dieser Einstellung auf Nein werden Benutzer daran gehindert, ihr Geschäfts-, Schul- oder Unikonto mit ihrem LinkedIn-Konto zu verbinden. Weitere Informationen finden Sie unter Datenfreigabe und Benutzereinwilligung bei LinkedIn-Kontoverbindungen.
Sicherheitsgruppen erstellen Durch das Festlegen dieser Einstellung auf Nein werden Benutzer daran gehindert, Sicherheitsgruppen zu erstellen. Globale Administratoren und Benutzeradministratoren können weiterhin Sicherheitsgruppen erstellen. Informationen zur Vorgehensweise finden Sie unter Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen.
Erstellen von Microsoft 365-Gruppen Durch das Festlegen dieser Einstellung auf Nein werden Benutzer daran gehindert, Microsoft 365-Gruppen zu erstellen. Durch das Festlegen dieser Option auf Einige wird einer Reihe von Benutzern das Erstellen von Microsoft 365-Gruppen ermöglicht. Globale Administratoren und Benutzeradministratoren können weiterhin Microsoft 365-Gruppen erstellen. Informationen zur Vorgehensweise finden Sie unter Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen.
Zugriff auf Azure AD-Verwaltungsportal einschränken Was bewirkt diese Option?
Nein: Ermöglicht Nicht-Administratoren das Durchsuchen des Azure AD-Verwaltungsportals.
Ja: Verhindert, dass Nicht-Administratoren das Azure AD-Verwaltungsportal durchsuchen können. Nicht-Administratoren, die als Besitzer von Gruppen oder Anwendungen fungieren, können das Azure-Portal nicht verwenden, um ihre eigenen Ressourcen zu verwalten.

Was bewirkt die Option nicht?
Der Zugriff auf Azure AD-Daten über PowerShell oder andere Clients wie Visual Studio wird nicht eingeschränkt.
Solange einem Benutzer eine benutzerdefinierte Rolle (oder eine beliebige Rolle) zugewiesen ist, wird der Zugriff nicht eingeschränkt.
Der Zugriff auf das Entra-Portal wird nicht eingeschränkt.

Wann sollte diese Option verwendet werden?
Verhindern Sie mithilfe dieser Option, dass Benutzer die ihnen gehörenden Ressourcen falsch konfigurieren.

Wann sollte diese Option nicht verwendet werden?
Verwenden Sie diese Option nicht als Sicherheitsmaßnahme. Erstellen Sie stattdessen eine Richtlinie für bedingten Zugriff, die auf Microsoft Azure Management abzielt und den Zugriff auf Microsoft Azure Management durch Nicht-Administratoren verhindert.

Wie kann nur bestimmten Nicht-Administrator-Benutzern die Möglichkeit gewährt werden, das Azure AD-Verwaltungsportal zu nutzen?
Legen Sie diese Option auf Ja fest, und weisen Sie den Benutzern eine Rolle wie z. B. „Globaler Leser“ zu.

Einschränken des Zugriffs auf das Entra-Verwaltungsportal
Eine Richtlinie für bedingten Zugriff, die auf Microsoft Azure Management abzielt, steuert den Zugriff auf die gesamte Azure-Verwaltung.

Andere Benutzer lesen Diese Einstellung ist nur in Microsoft Graph und PowerShell verfügbar. Das Festlegen dieses Flags auf $false verhindert, dass Nicht-Administratoren Benutzerinformationen im Verzeichnis lesen können. Durch dieses Flag wird jedoch nicht verhindert, dass Benutzerinformationen in anderen Microsoft-Diensten wie z. B. Exchange Online gelesen werden können.

Diese Einstellung ist für besondere Umstände vorgesehen, daher wird nicht empfohlen, das Flag auf $false festzulegen.

Hinweis

Es wird davon ausgegangen, dass der durchschnittliche Benutzer nur das Portal für den Zugriff auf Azure AD und nicht PowerShell oder die Azure-Befehlszeilenschnittstelle (CLI) für den Zugriff auf seine Ressourcen verwendet. Derzeit wird der Zugriff auf die Standardberechtigungen von Benutzern nur eingeschränkt, wenn die Benutzer versuchen, im Azure-Portal auf das Verzeichnis zuzugreifen.

Standardberechtigungen von Gastbenutzern einschränken

Sie können die Standardberechtigungen für Gastbenutzer auf folgende Weise einschränken.

Hinweis

Die Einstellung Berechtigungen für Gastbenutzer sind eingeschränkt wurde durch die Einstellung für Zugriffseinschränkungen für Gastbenutzer ersetzt. Anleitungen zur Verwendung dieser Funktion finden Sie unter Einschränken von Gastzugriffsberechtigungen in Azure Active Directory.

Berechtigung Erläuterung der Einstellung
Zugriffseinschränkungen für Gastbenutzer Wenn Sie diese Option auf Gastbenutzer haben denselben Zugriff wie Mitglieder festlegen, werden Gastbenutzern standardmäßig alle Berechtigungen von Mitgliedsbenutzern gewährt.

Wenn Sie diese Option auf Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt festlegen, ist der Gastzugriff standardmäßig auf das eigene Benutzerprofil beschränkt. Der Zugriff auf andere Benutzer ist auch bei der Suche nach Benutzerprinzipalname, Objekt-ID oder Anzeigename nicht mehr zulässig. Der Zugriff auf Gruppeninformationen einschließlich Gruppenmitgliedschaften ist ebenfalls nicht mehr zulässig.

Diese Einstellung verhindert nicht den Zugriff auf eingebundene Gruppen in einigen Microsoft 365-Diensten wie z. B. Microsoft Teams. Weitere Informationen finden Sie unter Microsoft Teams-Gastzugriff.

Gastbenutzer können unabhängig von dieser Berechtigungseinstellung weiterhin Administratorrollen hinzugefügt werden.

Gäste können einladen Wenn Sie diese Option auf Ja festlegen, können Gäste andere Gäste einladen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für externe Zusammenarbeit.
Mitglieder können einladen Wenn Sie diese Option auf Ja festlegen, können Mitglieder Ihres Verzeichnisses, die keine Administratoren sind, Gäste einladen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für externe Zusammenarbeit.
Administratoren und Benutzer mit der Rolle „Gasteinladender“ können einladen Wenn Sie diese Option auf Ja festlegen, können Administratoren und Benutzer, die der Rolle „Gasteinladender“ zugewiesen sind, Gäste einladen. Ist diese Option auf Ja festgelegt, können Benutzer, die der Rolle „Gasteinladender“ zugewiesen sind, auch unabhängig von der Einstellung für Mitglieder können einladen weiterhin Gäste einladen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für externe Zusammenarbeit.

Objektbesitz

Berechtigungen als Anwendungsregistrierungsbesitzer

Wenn ein Benutzer eine Anwendung registriert, wird er automatisch als Besitzer der Anwendung hinzugefügt. Als Besitzer kann er die Metadaten der Anwendung verwalten, beispielsweise den Namen und Berechtigungen, die für die App erforderlich sind. Darüber hinaus kann er auch die mandantenspezifische Konfiguration der Anwendung verwalten, z. B. die Konfiguration des einmaligen Anmeldens (SSO) und Benutzerzuweisungen.

Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen. Im Gegensatz zu globalen Administratoren können Besitzer nur die Anwendungen verwalten, deren Besitzer sie sind.

Besitzerberechtigungen für Unternehmensanwendungen

Wenn ein Benutzer eine neue Unternehmensanwendung hinzufügt, wird er automatisch als Besitzer hinzugefügt. Als Besitzer kann er die mandantenspezifische Konfiguration der Anwendung verwalten, z. B. die SSO-Konfiguration, die Bereitstellung und Benutzerzuweisungen.

Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen. Im Gegensatz zu globalen Administratoren können Besitzer nur die Anwendungen verwalten, deren Besitzer sie sind.

Berechtigungen als Gruppenbesitzer

Wenn ein Benutzer eine Gruppe erstellt, wird er automatisch als Besitzer für diese Gruppe hinzugefügt. Als Besitzer kann der Benutzer die Eigenschaften der Gruppe (z. B. den Namen) und die Gruppenmitgliedschaft verwalten.

Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen. Im Gegensatz zu globalen Administratoren und Benutzeradministratoren können Besitzer nur Gruppen verwalten, deren Besitzer sie sind.

Informationen zum Zuweisen eines Gruppenbesitzers finden Sie unter Verwalten von Besitzern für eine Gruppe.

Besitzerberechtigungen

In den folgenden Tabellen werden die speziellen Berechtigungen in Azure AD beschrieben, über die Mitgliedsbenutzer für Objekte in ihrem Besitz verfügen. Benutzer verfügen über diese Berechtigungen nur für Objekte, deren Besitzer sie sind.

Anwendungsregistrierungen im Besitz des Benutzers

Benutzer können die folgenden Aktionen für Registrierungen von Anwendungen ausführen, deren Besitzer sie sind:

Aktion Beschreibung
microsoft.directory/applications/audience/update Aktualisieren der Eigenschaft applications.audience in Azure AD.
microsoft.directory/applications/authentication/update Aktualisieren der Eigenschaft applications.authentication in Azure AD.
microsoft.directory/applications/basic/update Aktualisieren der Basiseigenschaften für Anwendungen in Azure AD.
microsoft.directory/applications/credentials/update Aktualisieren der Eigenschaft applications.credentials in Azure AD.
microsoft.directory/applications/delete Löschen von Anwendungen in Azure AD.
microsoft.directory/applications/owners/update Aktualisieren der Eigenschaft applications.owners in Azure AD.
microsoft.directory/applications/permissions/update Aktualisieren der Eigenschaft applications.permissions in Azure AD.
microsoft.directory/applications/policies/update Aktualisieren der Eigenschaft applications.policies in Azure AD.
microsoft.directory/applications/restore Wiederherstellen von Anwendungen in Azure AD.

Unternehmensanwendungen im Besitz des Benutzers

Benutzer können die folgenden Aktionen für Unternehmensanwendungen ausführen, deren Besitzer sie sind. Eine Unternehmensanwendung besteht aus dem Dienstprinzipal, einer oder mehrerer Anwendungsrichtlinien und manchmal einem Anwendungsobjekt im selben Mandanten wie der Dienstprinzipal.

Aktion Beschreibung
microsoft.directory/auditLogs/allProperties/read Lesen sämtlicher Eigenschaften von Überwachungsprotokollen in Azure AD (einschließlich privilegierter Eigenschaften).
microsoft.directory/policies/basic/update Aktualisieren der Basiseigenschaften für Richtlinien in Azure AD.
microsoft.directory/policies/delete Löschen von Richtlinien in Azure AD.
microsoft.directory/policies/owners/update Aktualisieren der Eigenschaft policies.owners in Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren der Eigenschaft servicePrincipals.appRoleAssignedTo in Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignments/update Aktualisieren der Eigenschaft users.appRoleAssignments in Azure AD.
microsoft.directory/servicePrincipals/audience/update Aktualisieren der Eigenschaft servicePrincipals.audience in Azure AD.
microsoft.directory/servicePrincipals/authentication/update Aktualisieren der Eigenschaft servicePrincipals.authentication in Azure AD.
microsoft.directory/servicePrincipals/basic/update Aktualisieren grundlegender Eigenschaften für Dienstprinzipale in Azure AD.
microsoft.directory/servicePrincipals/credentials/update Aktualisieren der Eigenschaft servicePrincipals.credentials in Azure AD.
microsoft.directory/servicePrincipals/delete Löschen von Dienstprinzipalen in Azure AD.
microsoft.directory/servicePrincipals/owners/update Aktualisieren der Eigenschaft servicePrincipals.owners in Azure AD.
microsoft.directory/servicePrincipals/permissions/update Aktualisieren der Eigenschaft servicePrincipals.permissions in Azure AD.
microsoft.directory/servicePrincipals/policies/update Aktualisieren der Eigenschaft servicePrincipals.policies in Azure AD.
microsoft.directory/signInReports/allProperties/read Lesen sämtlicher Eigenschaften für Anmeldeberichte in Azure AD (einschließlich privilegierter Eigenschaften).

Geräte im Besitz des Benutzers

Benutzer können die folgenden Aktionen für Geräte ausführen, deren Besitzer sie sind:

Aktion Beschreibung
microsoft.directory/devices/bitLockerRecoveryKeys/read Lesen der Eigenschaft devices.bitLockerRecoveryKeys in Azure AD.
microsoft.directory/devices/disable Deaktivieren von Geräten in Azure AD.

Gruppen im Besitz des Benutzers

Benutzer können die folgenden Aktionen für Gruppen ausführen, deren Besitzer sie sind.

Hinweis

Besitzer dynamischer Gruppen müssen über die Rolle „Globaler Administrator“, „Gruppenadministrator“, „Intune-Administrator“ oder „Benutzeradministrator“ verfügen, um Gruppenmitgliedschaftsregeln zu bearbeiten. Weitere Informationen finden Sie unter Erstellen oder Aktualisieren einer dynamischen Gruppe in Azure Active Directory.

Aktion Beschreibung
microsoft.directory/groups/appRoleAssignments/update Aktualisieren der Eigenschaft groups.appRoleAssignments in Azure AD.
microsoft.directory/groups/basic/update Aktualisieren der Basiseigenschaften für Gruppen in Azure AD.
microsoft.directory/groups/delete Löschen von Gruppen in Azure AD.
microsoft.directory/groups/members/update Aktualisieren der Eigenschaft groups.members in Azure AD.
microsoft.directory/groups/owners/update Aktualisieren der Eigenschaft groups.owners in Azure AD.
microsoft.directory/groups/restore Wiederherstellen von Gruppen in Azure AD.
microsoft.directory/groups/settings/update Aktualisieren der Eigenschaft groups.settings in Azure AD.

Nächste Schritte