Informationen zu Administratorrollen im Microsoft 365 Admin Center

Sehen Sie sich die Hilfe zu Microsoft 365 Small Business auf YouTube an.

Microsoft 365- oder Office 365-Abonnement verfügt über eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer Organisation mithilfe der Microsoft 365 Admin Center zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern.

Im Microsoft 365 Admin Center können Sie Azure AD- und Microsoft Intune-Rollen verwalten. Bei diesen Rollen handelt es sich jedoch um eine Teilmenge der Rollen, die im Azure AD-Portal und im Intune Admin Center verfügbar sind.

Tipp

Wenn Sie Hilfe bei den Schritten in diesem Thema benötigen, erwägen Sie die Zusammenarbeit mit einem Microsoft-Spezialisten für Kleinunternehmen. Mit Business Assist erhalten Sie und Ihre Mitarbeiter rund um die Uhr Zugriff auf Spezialisten für Kleinunternehmen, während Sie Ihr Unternehmen ankurbeln, vom Onboarding bis zur täglichen Nutzung.

Schauen Sie sich an: Was ist ein Administrator?

Schauen Sie sich dieses Video und andere auf unserem YouTube-Kanal an.

  1. Während Sie bei Microsoft 365 angemeldet sind, wählen Sie den Launcher aus. Wenn Ihnen die Schaltfläche „Administrator“ angezeigt wird, dann sind Sie ein Administrator.
  2. Wählen Sie Administrator aus, um zum Microsoft 365 Admin Center zu wechseln.
  3. Wählen Sie in der linken Navigationsleiste Benutzer>Aktive Benutzer aus.
  4. Wählen Sie die Person aus, die Sie als Administrator festlegen möchten. Die Details des Benutzers werden im rechten Dialogfeld angezeigt.

Bevor Sie beginnen

Suchen Sie nach der vollständigen Liste der detaillierten Azure AD-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können? Diese finden Sie unter "Administratorrollenberechtigungen in Azure Active Directory". Integrierte Azure AD-Rollen.

Suchen Sie nach der vollständigen Liste der detaillierten Intune-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können? Sehen Sie sich Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune an.

Weitere Informationen zum Zuweisen von Rollen im Microsoft 365 Admin Centerfinden Sie unter Zuweisen von Administratorrollen.

Sicherheitsrichtlinien für das Zuweisen von Rollen

Da Administratoren Zugriff auf vertrauliche Daten und Dateien haben, empfiehlt es sich, diese Richtlinien zu befolgen, um die Daten Ihrer Organisation besser zu schützen.

Empfehlung Warum ist das wichtig?
2 bis 4 globale Administratoren Globale Administratoren haben nahezu unbegrenzten Zugriff auf die Einstellungen Ihrer Organisation und die meisten daten. Es wird empfohlen, die Anzahl der globalen Administratoren so weit wie möglich zu begrenzen. Eine globale Admin kann ihr Konto versehentlich sperren und eine Kennwortzurücksetzung erfordern. Entweder ein anderer globaler Admin oder ein privilegierter Authentifizierungs-Admin kann das Kennwort eines globalen Admin zurücksetzen. Daher wird empfohlen, mindestens eine weitere globale Admin oder eine privilegierte Authentifizierungs-Admin zu verwenden, falls ein globales Admin sein Konto sperrt.
Die Rolle mit den wenigsten Berechtigungen zuweisen Die Rolle mit den wenigsten Berechtigungen zuweisen bedeutet, Administratoren nur den Zugriff zu gewähren, den sie zum Erledigen einer Aufgabe benötigen. Wenn Sie beispielsweise möchten, dass jemand Mitarbeiterkennwörter zurücksetzt, sollten Sie nicht die unbeschränkte globale Administratorrolle zuweisen, sie sollten eine eingeschränkte Administratorrolle zuweisen, z. B. Kennwortadministrator oder Helpdeskadministrator. Dies trägt dazu bei, ihre Daten zu schützen.
Mehrstufige Authentifizierung vorschreiben Es ist zwar sinnvoll, die mehrstufige Authentifizierung für alle Benutzer vorzuschreiben, für Administratoren sollte sie jedoch unbedingt zur Anmeldung vorgesehen sein. Bei MFA müssen Benutzer eine zweite Identifikationsmethode eingeben, um sicherzustellen, dass sie tatsächlich die Person sind, die sie behaupten zu sein. Administratoren können auf eine Vielzahl von Kunden- und Mitarbeiterdaten zugreifen. Wenn Sie die MFA vorschreiben, ist ein kompromittiertes Administratorkennwort ohne die zweite Art der Identifizierung nutzlos.

Wenn Sie die mehrstufige Authentifizierung aktivieren, müssen die Benutzer bei der nächsten Anmeldung eine alternative E-Mail-Adresse und Telefonnummer für die Kontowiederherstellung angeben.
Einrichten der mehrstufigen Authentifizierung

Wenn im Admin Center eine Nachricht angezeigt wird, die besagt, dass Sie nicht über die Berechtigungen zum Bearbeiten einer Einstellung oder Seite verfügen, liegt dies daran, dass Ihnen eine Rolle zugewiesen ist, die nicht über die entsprechende Berechtigung verfügt.

Häufig verwendete Microsoft 365 Admin Center-Rollen

Im Microsoft 365 Admin Center können Sie zu Rollenzuweisungen wechseln und dann eine beliebige Rolle auswählen, um deren Detailbereich zu öffnen. Wählen Sie die Registerkarte Berechtigungen aus, um eine detaillierte Liste der Berechtigungen anzuzeigen, über die Administratoren mit dieser Rolle verfügen. Wählen Sie die Registerkarte Zugewiesene oder Zugewiesene Administratoren aus, um Benutzer zu Rollen hinzuzufügen.

Es genügt wahrscheinlich, wenn Sie in Ihrer Organisation nur die nachstehend aufgeführten Rollen zuweisen. Standardmäßig werden zuerst die Rollen angezeigt, die von den meisten Organisationen verwendet werden. Wenn Sie eine Rolle nicht finden können, gehen Sie zum Ende der Liste, und wählen Sie Alle nach Kategorie anzeigen aus. (Ausführliche Informationen, einschließlich der mit einer Rolle verknüpften Cmdlets, finden Sie unter Integrierte Azure AD-Rollen.)

Administratorrolle Wem sollte diese Rolle zugewiesen werden?
Abrechnungsadministrator Weisen Sie die Rolle des Abrechnungsadministrators Benutzern zu, die Einkäufe tätigen, Abonnements und Dienstanforderungen verwalten und den Dienststatus überwachen.

Abrechnungsadministratoren können ebenfalls:
– Alle Aspekte der Abrechnung verwalten
– Supporttickets im Azure-Portal erstellen und verwalten
Exchange-Administrator Weisen Sie die Exchange-Administratorrolle Benutzern zu, die die E-Mail-Postfächer Ihrer Benutzer, Microsoft 365-Gruppen und Exchange Online einsehen und verwalten müssen.

Exchange-Administratoren sind außerdem zu Folgendem berechtigt:
- Wiederherstellen gelöschter Elemente im Postfach eines Benutzers
- Einrichten von "Senden als"- und "Senden im Auftrag von"-Stellvertretungen
Globaler Administrator Weisen Sie Benutzern, die globalen Zugriff auf die meisten Verwaltungsfunktionen und Daten in Microsoft Online-Diensten benötigen, die Rolle des globalen Administrators zu.

Wenn Sie zu vielen Benutzern globalen Zugriff gewähren, besteht ein Sicherheitsrisiko, deshalb empfiehlt es sich, nur zwei bis vier globale Administratoren vorzusehen.

Nur globale Administratoren sind zu Folgendem berechtigt:
- Zurücksetzen von Kennwörtern für alle Benutzer
- Hinzufügen und Verwalten von Domänen
– Aufheben der Blockierung eines anderen globalen Administrators

Hinweis: Die Person, die sich für Microsoft Onlinedienste registriert hat, wird automatisch globaler Administrator.
Globaler Leser Weisen Sie die Rolle "Globaler Leser" Benutzern zu, die Administratorfunktionen und -einstellungen in Admin Centern einsehen müssen, die der globale Administrator anzeigen kann. Ein Administrator mit der Rolle "Globaler Leser" kann keine Einstellungen bearbeiten.
Gruppenadministrator Weisen Sie die Rolle des Gruppenadministrators Benutzern zu, die alle Gruppeneinstellungen in den Admin Centern verwalten müssen, einschließlich des Microsoft 365 Admin Centers und des Azure Active Directory-Portals.

Gruppenadministratoren sind zu Folgendem berechtigt:
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Microsoft 365-Gruppen
- Einrichten und Aktualisieren von Erstellung, Ablauf und Benennungsrichtlinien von bzw. für Gruppen
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Azure Active Directory-Sicherheitsgruppen
Helpdesk-Administrator Weisen Sie die Rolle des Helpdesk-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:
- Kennwörter zurücksetzen
- Die Abmeldung von Benutzern erzwingen
- Serviceanfragen verwalten
- Den Dienststatus überwachen

Hinweis: Der Helpdesk-Administrator kann nur Benutzern ohne Administratorrolle sowie Benutzern helfen, welchen folgende Rollen zugewiesen wurden: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.
Lizenzadministrator Weisen Sie die Rolle des Lizenzadministrators Benutzern zu, die Lizenzen für Benutzer zuweisen und entfernen und deren Verwendungsort bearbeiten müssen.

Lizenzadministratoren können ebenfalls:
– Lizenzzuweisungen für die gruppenbasierte Lizenzierung erneut verarbeiten
– Produktlizenzen für die gruppenbasierte Lizenzierung an Gruppen zuweisen
Nachrichtencenter-Datenschutzleser Weisen Sie Benutzern, die Nachrichten und Updates zu Datenschutz und Sicherheit im Microsoft 365-Nachrichtencenter lesen müssen, die Rolle „Datenschutzleser“ im Nachrichtencenter zu. Datenschutzleser im Nachrichtencenter erhalten möglicherweise E-Mail-Benachrichtigungen im Zusammenhang mit dem Datenschutz, je nach ihren Einstellungen, und sie können diese mithilfe der Einstellungen des Nachrichtencenters kündigen. Nur globale Administratoren und Datenschutzleser im Nachrichtencenter können Datenschutznachrichten lesen. Diese Rolle verfügt nicht über die Berechtigung zum Anzeigen, Erstellen oder Verwalten von Dienstanforderungen.

Datenschutzleser im Nachrichtencenter können auch folgende Aktionen ausführen:
– Überwachen aller Benachrichtigungen im Nachrichtencenter, einschließlich Datenschutznachrichten
– Anzeigen von Gruppen, Domänen und Abonnements
Nachrichtencenter-Leseberechtigter Weisen Sie die Rolle „Nachrichtencenter-Leseberechtigter“ Benutzern zu, die Folgendes ausführen müssen:
– Überwachen der Nachrichtencenter-Benachrichtigungen
– Wöchentliche E-Mail-Zusammenfassungen von Beiträgen und Aktualisierungen des Nachrichtencenters erhalten
– Freigeben von Beiträgen im Nachrichtencenter
– Schreibgeschützten Zugriff auf Azure AD-Dienste haben, wie z. B. Benutzer und Gruppen
Office-Apps-Administrator Weisen Sie die Rolle des Office-Apps-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:
– Verwenden des Cloudrichtliniendiensts für Microsoft 365 zum Erstellen und Verwalten von cloudbasierten Richtlinien für Office
- Serviceanfragen erstellen und verwalten
- Verwalten der Inhalte im Dialogfenster "Neuigkeiten", das den Benutzern in ihren Office-Apps angezeigt wird
- Den Dienststatus überwachen
Kennwortadministrator Weisen Sie die Rolle des Kennwortadministrators Benutzern zu, die Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen müssen.
Power Plattform-Administrator Weisen Sie die Power Platform-Administratorrolle Benutzern zu, die Folgendes ausführen müssen:
– Verwalten aller Administratorfunktionen für Power Apps, Power Automate und Microsoft Purview Data Loss Prevention
– Serviceanfragen erstellen und verwalten
– Den Dienststatus überwachen
Berichtleseberechtigter Weisen Sie die Rolle „Berichtleseberechtigter“ Benutzern zu, die folgende Aktionen ausführen müssen:
– Nutzungsdaten und Aktivitätsberichte im Microsoft 365 Admin Center anzeigen
– Zugriff auf das Inhaltspakets zur Power BI-Einführung erhalten
– Zugriff auf Anmeldeberichte und Aktivitäten in Azure AD erhalten
– Vom Microsoft Graph-Berichterstellungs--API zurückgegebene Daten anzeigen
Dienstsupportadministrator Weisen Sie die Rolle des Dienstsupportadministrators als zusätzliche Rolle Administratoren oder Benutzern zu, die zusätzlich zu ihrer normalen Administratorrolle folgende Aufgaben erfüllen müssen:
- Serviceanfragen öffnen und verwalten
- Nachrichtencenter-Beiträge anzeigen und freigeben
- Den Dienststatus überwachen
SharePoint-Administrator Weisen Sie die SharePoint-Administratorrolle Benutzern zu, die auf das SharePoint Online Admin Center zugreifen und dieses verwalten müssen.

SharePoint-Administratoren sind zudem zu Folgendem berechtigt:
- Erstellen und Löschen von Websites
- Verwalten von Websitesammlungen und globalen SharePoint-Einstellungen
Teams-Administrator Weisen Sie die Teams-Administratorrolle Benutzern zu, die auf das Teams Admin Center zugreifen und dieses verwalten müssen.

Der Teams-Administrator kann auch folgende Aktionen ausführen:
- Verwalten von Besprechungen
- Verwalten von Konferenzbrücken
- Verwalten aller organisationsweiten Einstellungen einschließlich Partnerverbund, Microsoft Teams-Upgrades und Einstellungen des Microsoft Teams-Clients
Benutzeradministrator Weisen Sie die Rolle des Benutzeradministrators Benutzern zu, die folgende Aktionen für alle Benutzer ausführen müssen:
- Benutzer und Gruppen hinzufügen
- Lizenzen zuweisen
- Die meisten Benutzereigenschaften verwalten
- Benutzeransichten erstellen und verwalten
- Kennwortablaufrichtlinien aktualisieren
- Serviceanfragen verwalten
- Den Dienststatus überwachen

Der Benutzeradministrator kann außerdem die unten aufgeführten Aktionen für Benutzer ohne Administratorrolle sowie für Benutzer ausführen, denen die folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.
- Benutzernamen verwalten
- Benutzerkonten löschen und wiederherstellen
- Kennwörter zurücksetzen
- Die Abmeldung von Benutzern erzwingen
- (FIDO)-Geräteschlüssel aktualisieren

Delegierte Administration für Microsoft-Partner

Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie, dass sie dies tun, z. B. wenn sie Ihre Onlineorganisation für Sie einrichten und verwalten.

Ein Partner kann die folgenden Rollen zuweisen:

  • Administrator-Agent: Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.

  • Helpdesk-Agent: Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.

Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Dieser Vorgang wird von einem autorisierten Partner initiiert. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.

Zuweisen von Administratorrollen (Artikel)
Azure AD-Rollen im Microsoft 365 Admin Center (Artikel)
Aktivitätsberichte im Microsoft 365 Admin Center (Artikel)
Exchange Online-Administratorrolle (Artikel)