Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Verwalten von Berechtigungen für externe Partner ist ein wichtiger Bestandteil Ihres Sicherheitsstatus. Wir haben der Benutzeroberfläche des Verwaltungsportals in Microsoft Entra ID, Teil von Microsoft Entra, Funktionen hinzugefügt, damit Administrator*innen die Beziehungen ihres Microsoft Entra-Mandanten mit Microsoft Cloud-Dienstanbietern (CSP) sehen können, die den Mandanten verwalten können. Dieses Berechtigungsmodell wird als delegierte Administration bezeichnet. In diesem Artikel wird die Rolle „Microsoft Entra-Administrator“ in die Beziehung zwischen dem alten Berechtigungsmodell „Delegierte Administratorberechtigungen“ (Delegated Admin Permissions, DAP) und dem neuen Berechtigungsmodell Differenzierte delegierte Administratorrechte (Granular Delegated Admin Permissions, GDAP) eingeführt.
Delegierte Verwaltungsbeziehungen
Delegierte Verwaltungsbeziehungen ermöglichen Technikern bei einem Microsoft-CSP, Microsoft-Dienste wie Microsoft 365, Dynamics, 365 und Azure im Auftrag Ihrer Organisation zu verwalten. Diese Techniker verwalten diese Dienste für Sie mit den gleichen Rollen und Berechtigungen wie eigene Administratoren in der Organisation. Diese Rollen werden Sicherheitsgruppen im Microsoft Entra-Mandanten des CSP zugewiesen, weshalb das CSP-Technikteam keine Benutzerkonten in Ihrem Mandanten benötigt, um Dienste für Sie zu verwalten.
Es gibt zwei Arten delegierter Verwaltungsbeziehungen, die in der Benutzeroberfläche des Azure-Portal angezeigt werden. Der neuere Typ der delegierten Administratorbeziehung wird als „Differenzierte delegierte Administratorrechte“ bezeichnet. Der ältere Beziehungstyp wird als „Delegierte Administratorberechtigungen“ bezeichnet. Sie können beide Beziehungstypen anzeigen, wenn Sie sich beim Azure-Portal anmelden und dann Delegierte Administration auswählen.
Differenzierte delegierte Administratorrechte
Wenn ein Microsoft CSP eine GDAP-Beziehungsanforderung für Ihren Mandanten erstellt, muss ein globaler Administrator die Anforderung genehmigen. In der GDAP-Beziehungsanforderung wird Folgendes angegeben:
- Der CSP-Partnermandant
- Die Rollen, die der Partner an seine Techniker delegieren muss
- Das Ablaufdatum
Wenn Sie über eine GDAP-Beziehung in Ihrem Mandanten verfügen, wird im Microsoft Entra Admin Center ein Benachrichtigungsbanner auf der Seite Delegierte Administration angezeigt. Wählen Sie das Benachrichtigungsbanner aus, um GDAP-Beziehungen auf der Seite Partner in Microsoft Admin Center anzuzeigen und zu verwalten.
Delegierte Administratorberechtigungen
Alle DAP-Beziehungen ermöglichen es dem CSP, die Rollen „Unternehmensadministrator“ und „Kennwortadministrator“ an seine Techniker zu delegieren. Im Gegensatz zu einer GDAP-Beziehung bleibt eine DAP-Beziehung bestehen, bis Sie oder Ihr CSP sie widerruft.
Wenn Sie über DAP-Beziehungen in Ihrem Mandanten verfügen, werden diese im Azure-Portal auf der Seite „Delegierte Administration“ angezeigt. Um eine DAP-Beziehung für einen CSP zu entfernen, folgen Sie dem Link zur Seite „Partner“ im Microsoft Admin Center.
Nächste Schritte
Wenn Sie mit der Rolle „Microsoft Entra Administrator“ noch nicht vertraut sind, informieren Sie sich über die Grundlagen von Microsoft Entra.