Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Benutzern und Gruppen Mithilfe des Microsoft Entra Admin Centers, Microsoft Graph PowerShell oder der Microsoft Graph-API Microsoft Entra Rollen zuweisen. Außerdem wird beschrieben, wie Rollen in verschiedenen Bereichen zugewiesen werden, wie z. B. in den Bereichen Mandant, Anwendungsregistrierung und Verwaltungseinheit.
Sie können einem Benutzer direkte und indirekte Rollenzuweisungen zuweisen. Wenn einem Benutzer eine Rolle durch eine Gruppenmitgliedschaft zugewiesen wird, fügen Sie den Benutzer der Gruppe hinzu, um die Rollenzuweisung hinzuzufügen. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen.
In der Microsoft Entra-ID werden Rollen in der Regel zugewiesen, die auf den gesamten Mandanten angewendet werden. Sie können jedoch auch Microsoft Entra-Rollen für verschiedene Ressourcen zuweisen, z. B. Anwendungsregistrierungen oder administrative Einheiten. Sie können beispielsweise die Rolle des Helpdesk-Administrators so zuweisen, dass sie nur für eine bestimmte Verwaltungseinheit gilt und nicht für den gesamten Mandanten. Die Ressourcen, für die eine Rollenzuweisung gilt, werden auch als Bereich bezeichnet. Das Einschränken des Umfangs einer Rollenzuweisung wird für integrierte und benutzerdefinierte Rollen unterstützt. Weitere Informationen zum Bereich finden Sie unter Übersicht über die rollenbasierte Zugriffssteuerung (RBAC) in Microsoft Entra ID.
Microsoft Entra-Rollen in PIM
Wenn Sie über eine Microsoft Entra ID P2-Lizenz und Privileged Identity Management (PIM) verfügen, verfügen Sie beim Zuweisen von Rollen über zusätzliche Funktionen, z. B. das Festlegen der Start- und Endzeit für eine Rollenzuweisung durch einen Benutzer. Informationen zum Zuweisen von Microsoft Entra-Rollen in PIM finden Sie in den folgenden Artikeln:
| Methode | Informationen |
|---|---|
| Microsoft Entra Verwaltungszentrum | Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management |
| Microsoft Graph PowerShell | Lernprogramm: Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management mithilfe von Microsoft Graph PowerShell |
| Microsoft Graph-API |
Verwalten von Microsoft Entra-Rollenzuweisungen mithilfe von PIM-APIs Microsoft Entra-Rollen in Privileged Identity Management zuweisen |
Voraussetzungen
- Administrator für privilegierte Rollen
- Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
- Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.
Zuweisen von Rollen mit Mandantenbereich
In diesem Abschnitt wird beschrieben, wie Rollen auf Mandantenebene zugewiesen werden.
Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Administrator mit privilegierter Rolle an.
Navigieren Sie zu
Entra ID Rollen & Administratoren .
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Fügen Sie kein Häkchen neben der Rolle hinzu.
Wählen Sie "Aufgaben hinzufügen" und dann die Benutzer oder Gruppen aus, die Sie dieser Rolle zuweisen möchten.
Es werden nur rollenzuweisbare Gruppen angezeigt. Wenn eine Gruppe nicht aufgeführt ist, müssen Sie eine rollenzuweisungsfähige Gruppe erstellen. Weitere Informationen finden Sie unter Erstellen einer rollenzuweisenden Gruppe in der Microsoft Entra-ID.
Wenn Sich Ihre Erfahrung von dem folgenden Screenshot unterscheidet, verfügen Sie möglicherweise über Microsoft Entra ID P2 und PIM. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.
Wählen Sie "Hinzufügen" aus, um die Rolle zuzuweisen.
Zuweisen von Rollen mit App-Registrierungsbereich
Integrierte Rollen und benutzerdefinierte Rollen werden standardmäßig auf Mandantenebene zugewiesen, um Zugriffsberechtigungen für alle App-Registrierungen in Ihrer Organisation zu gewähren. Darüber hinaus können benutzerdefinierte Rollen und einige relevante integrierte Rollen (abhängig vom Typ der Microsoft Entra-Ressource) auch auf der Ebene einer einzelnen Microsoft Entra-Ressource zugewiesen werden. Auf diese Weise können Sie dem Benutzer die Berechtigung zum Aktualisieren von Anmeldeinformationen und grundlegenden Eigenschaften einer einzelnen App erteilen, ohne eine zweite benutzerdefinierte Rolle erstellen zu müssen.
In diesem Abschnitt wird beschrieben, wie Sie Rollen im Registrierungsbereich der Anwendung zuweisen.
Melden Sie sich mindestens als Anwendungsentwickler beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>App-Registrierungen.
Wählen Sie eine Anwendung aus. Sie können das Suchfeld verwenden, um die gewünschte App zu finden.
Möglicherweise müssen Sie "Alle Anwendungen " auswählen, um die vollständige Liste der App-Registrierungen in Ihrem Mandanten anzuzeigen.
Wählen Sie "Rollen" und "Administratoren" im linken Navigationsmenü aus, um die Liste aller rollen anzuzeigen, die über die App-Registrierung zugewiesen werden können.
Wählen Sie die gewünschte Rolle aus.
Tipp
Hier wird die gesamte Liste der integrierten oder benutzerdefinierten Rollen von Microsoft Entra nicht angezeigt. Dies wird erwartet. Es werden nur die Rollen angezeigt, die über Berechtigungen zum Verwalten von App-Registrierungen verfügen.
Wählen Sie "Aufgaben hinzufügen" und dann die Benutzer oder Gruppen aus, die Sie dieser Rolle zuweisen möchten.
Wählen Sie Hinzufügen aus, um die Rolle im Rahmen der App-Registrierung zuzuweisen.
Zuweisen von Rollen mit Verwaltungseinheitsbereich
In Microsoft Entra ID können Sie für eine genauere administrative Kontrolle eine Microsoft Entra-Rolle mit einem Bereich zuweisen, der auf eine oder mehrere administrative Einheiten beschränkt ist. Wenn eine Microsoft Entra-Rolle im Bereich einer Verwaltungseinheit zugewiesen wird, gelten die Rollenberechtigungen nur für die Verwaltung von Mitgliedern der Verwaltungseinheit selbst und nicht für mandantenweite Einstellungen oder Konfigurationen.
Beispielsweise kann ein Administrator, dem die Rolle "Gruppenadministrator" im Bereich einer Verwaltungseinheit zugewiesen ist, Gruppen verwalten, die Mitglieder der Verwaltungseinheit sind, aber keine anderen Gruppen im Mandanten verwalten. Sie können ebenfalls keine Einstellungen auf Mandantenebene verwalten, die sich auf Gruppen beziehen, wie z. B. Ablauf- oder Gruppenbenennungsrichtlinien.
In diesem Abschnitt wird beschrieben, wie Sie Microsoft Entra-Rollen im Bereich administrativer Einheiten zuweisen.
Voraussetzungen
- Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
- Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
- Administrator für privilegierte Rollen
- Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
- Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.
Rollen, die mit dem Bereich der Verwaltungseinheit zugewiesen werden können
Die folgenden Microsoft Entra-Rollen können mit einem Bereich der Verwaltungseinheit zugewiesen werden. Darüber hinaus kann jede benutzerdefinierte Rolle mit dem Bereich der administrativen Einheit zugewiesen werden, solange die Berechtigungen der benutzerdefinierten Rolle mindestens eine Berechtigung enthalten, die für Benutzer, Gruppen oder Geräte relevant ist.
| Rolle | Beschreibung |
|---|---|
| Authentifizierungsadministrator | Hat nur in der zugewiesenen Verwaltungseinheit Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zur Authentifizierungsmethode für alle Benutzer ohne Administratorrechte. |
| Cloudgeräteadministrator | Eingeschränkter Zugriff auf die Verwaltung von Geräten in der Microsoft Entra-ID. |
| Gruppenadministrator | Kann alle Aspekte von Gruppen nur in der zugewiesenen Verwaltungseinheit verwalten. |
| Helpdesk-Administrator | Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen. |
| Lizenzadministrator | Kann nur in der Verwaltungseinheit Lizenzzuweisungen vornehmen, entfernen und aktualisieren. |
| Kennwortadministrator | Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen. |
| Druckeradministrator | Kann Drucker und Druckeranschlüsse verwalten. Weitere Informationen finden Sie unter Delegieren der Verwaltung von Druckern in Universal Print. |
| Administrator für privilegierte Authentifizierung | Kann für jeden Benutzer (Administrator oder Nicht-Administrator) auf Informationen zur Authentifizierungsmethode zugreifen, diese festlegen und zurücksetzen. |
| SharePoint-Administrator | Kann Microsoft 365-Gruppen nur in der zugewiesenen administrativen Einheit verwalten. Für SharePoint-Websites, die einer Microsoft 365-Gruppe in einer Verwaltungseinheit zugeordnet sind, können Sie die Websiteeigenschaften (Websitename, URL und externe Freigaberichtlinie) auch über das Microsoft 365 Admin Center aktualisieren. Das SharePoint Admin Center oder SharePoint-APIs können nicht zum Verwalten von Websites verwendet werden. |
| Teams-Administrator | Kann Microsoft 365-Gruppen nur in der zugewiesenen administrativen Einheit verwalten. Kann Teammitglieder im Microsoft 365 Admin Center nur für Teams verwalten, die Gruppen in der zugewiesenen Verwaltungseinheit zugeordnet sind. Das Teams Admin Center kann nicht verwendet werden. |
| Teams-Geräteadministrator | Kann verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten ausführen. |
| Benutzeradministrator | Kann nur in der zugewiesenen Verwaltungseinheit alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für Administratoren mit eingeschränkten Berechtigungen. Die Profilfotos von Benutzern können derzeit nicht verwaltet werden. |
| <Benutzerdefinierte Rolle> | Kann Aktionen ausführen, die für Benutzer, Gruppen oder Geräte gemäß der Definition der benutzerdefinierten Rolle gelten. |
Bestimmte Rollenberechtigungen gelten nur für Nichtadministratorbenutzer, wenn sie dem Bereich einer administrativen Einheit zugewiesen sind. Mit anderen Worten: Helpdesk-Administratoren, die der Verwaltungseinheit zugeordnet sind, können Kennwörter für Benutzer in der Verwaltungseinheit nur zurücksetzen, wenn diese Benutzer keine Administratorrollen haben. Die folgende Liste der Berechtigungen ist eingeschränkt, wenn das Ziel einer Aktion ein anderer Administrator ist:
- Lesen und Ändern von Benutzerauthentifizierungsmethoden oder Zurücksetzen von Benutzerwörtern
- Ändern vertraulicher Benutzereigenschaften wie Telefonnummern, alternative E-Mail-Adressen oder OAuth-Schlüssel (Open Authorization)
- Löschen oder Wiederherstellen von Benutzerkonten
Sicherheitsprinzipale, die im Bereich der Verwaltungseinheit zugewiesen werden können
Die folgenden Sicherheitsprinzipale können einer Rolle im Bereich von Verwaltungseinheiten zugewiesen werden:
- Benutzer
- Microsoft Entra-Gruppen, denen Rollen zugewiesen werden können
- Dienstprinzipale
Dienstprinzipale und Gastbenutzer
Dienstprinzipale und Gastbenutzer/-benutzerinnen können eine Rollenzuweisung, die auf eine Verwaltungseinheit beschränkt ist, nur dann verwenden, wenn ihnen auch die entsprechenden Berechtigungen zum Lesen der Objekte zugewiesen wurden. Dies liegt daran, dass Dienstprinzipale und Gastbenutzer standardmäßig keine Verzeichnisleseberechtigungen erhalten, die zum Ausführen von Administrativen Aktionen erforderlich sind. Damit ein Dienstprinzipal- oder Gastbenutzer eine Rollenzuweisung verwenden kann, die einer administrativen Einheit zugeordnet ist, müssen Sie die Rolle Verzeichnisleser (oder eine andere Rolle, die Leseberechtigungen enthält) auf Mandantenebene zuweisen.
Es ist derzeit nicht möglich, einer Verwaltungseinheit Leseberechtigungen für Verzeichnisse zu erteilen. Weitere Informationen zu Standardberechtigungen für Benutzer finden Sie unter Standardbenutzerberechtigungen.
Zuweisen von Rollen mit Verwaltungseinheitsbereich
In diesem Abschnitt wird beschrieben, wie Sie Rollen auf der Ebene administrativer Einheiten zuweisen.
Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.
Navigieren Sie zu
Entra ID Rollen & Administratoren Admin-Einheiten .Wählen Sie eine administrative Einheit aus.
Wählen Sie "Rollen" und "Administratoren" im linken Navigationsmenü aus, um die Liste aller rollen anzuzeigen, die über eine Verwaltungseinheit zugewiesen werden können.
Wählen Sie die gewünschte Rolle aus.
Tipp
Hier wird die gesamte Liste der integrierten oder benutzerdefinierten Rollen von Microsoft Entra nicht angezeigt. Dies wird erwartet. Es werden die Rollen angezeigt, die über Berechtigungen im Zusammenhang mit den Objekten verfügen, die innerhalb der Verwaltungseinheit unterstützt werden. Eine Liste der objekte, die in einer administrativen Einheit unterstützt werden, finden Sie unter "Administrative Einheiten" in der Microsoft Entra-ID.
Wählen Sie "Aufgaben hinzufügen" und dann die Benutzer oder Gruppen aus, die Sie dieser Rolle zuweisen möchten.
Wählen Sie "Hinzufügen" aus, um der Verwaltungseinheit die Rolle zuzuweisen.
