Informationen zu Administratorrollen im Microsoft 365 Admin Center
Sehen Sie sich die Hilfe zu Microsoft 365 Small Business auf YouTube an.
Microsoft 365- oder Office 365-Abonnement enthält eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer organization mithilfe der Microsoft 365 Admin Center zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern.
Tipp
Wenn Sie Hilfe bei den Schritten in diesem Thema benötigen, erwägen Sie die Zusammenarbeit mit einem Microsoft-Spezialisten für Kleinunternehmen. Mit Business Assist erhalten Sie und Ihre Mitarbeiter rund um die Uhr Zugriff auf Spezialisten für Kleinunternehmen, während Sie Ihr Unternehmen ankurbeln, vom Onboarding bis zur täglichen Nutzung.
Schauen Sie sich an: Was ist ein Administrator?
Schauen Sie sich dieses Video und andere auf unserem YouTube-Kanal an.
- Während Sie bei Microsoft 365 angemeldet sind, wählen Sie den Launcher aus. Wenn Ihnen die Schaltfläche „Administrator“ angezeigt wird, dann sind Sie ein Administrator.
- Wählen Sie Administrator aus, um zum Microsoft 365 Admin Center zu wechseln.
- Wählen Sie in der linken Navigationsleiste Benutzer>Aktive Benutzer aus.
- Wählen Sie die Person aus, die Sie als Administrator festlegen möchten. Die Details des Benutzers werden im rechten Dialogfeld angezeigt.
Bevor Sie beginnen
Mit dem Microsoft 365 Admin Center können Sie Microsoft Entra Rollen und Microsoft Intune Rollen verwalten. Bei diesen Rollen handelt es sich jedoch um eine Teilmenge der Rollen, die im Microsoft Entra Admin Center und im Intune Admin Center verfügbar sind.
Eine vollständige Liste der detaillierten Microsoft Entra Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können, finden Sie unter Administratorrollenberechtigungen in Microsoft Entra integrierten Rollen.
Eine vollständige Liste der detaillierten Intune Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können, finden Sie unter Rollenbasierte Zugriffssteuerung (Role-based access control, RBAC) mit Microsoft Intune.
Weitere Informationen zum Zuweisen von Rollen im Microsoft 365 Admin Centerfinden Sie unter Zuweisen von Administratorrollen.
Sicherheitsrichtlinien für das Zuweisen von Rollen
Da Administratoren Zugriff auf vertrauliche Daten und Dateien haben, empfiehlt es sich, diese Richtlinien zu befolgen, um die Daten Ihrer Organisation besser zu schützen.
| Empfehlung | Warum ist das wichtig? |
|---|---|
| So wenige globale Administratoren wie möglich haben | Globale Administratoren haben fast unbegrenzten Zugriff auf die Einstellungen Ihrer organization und die meisten seiner Daten. Es wird empfohlen, die Anzahl der globalen Administratoren so weit wie möglich zu begrenzen. Eine globale Admin kann ihr Konto versehentlich sperren und eine Kennwortzurücksetzung erfordern. Entweder ein anderer globaler Admin oder ein privilegierter Authentifizierungs-Admin kann das Kennwort eines globalen Admin zurücksetzen. Daher wird empfohlen, dass Sie mindestens über einen Privilegierten Authentifizierungsadministrator verfügen, wenn ein globaler Administrator von ihrem Konto gesperrt wird. |
| Die Rolle mit den wenigsten Berechtigungen zuweisen | Die Rolle mit den wenigsten Berechtigungen zuweisen bedeutet, Administratoren nur den Zugriff zu gewähren, den sie zum Erledigen einer Aufgabe benötigen. Wenn Sie beispielsweise möchten, dass jemand Mitarbeiterkennwörter zurücksetzt, sollten Sie nicht die unbeschränkte globale Administratorrolle zuweisen, sie sollten eine eingeschränkte Administratorrolle zuweisen, z. B. Kennwortadministrator oder Helpdeskadministrator. |
| Mehrstufige Authentifizierung vorschreiben | Es ist zwar sinnvoll, die mehrstufige Authentifizierung für alle Benutzer vorzuschreiben, für Administratoren sollte sie jedoch unbedingt zur Anmeldung vorgesehen sein. MFA ermöglicht Benutzern die Verwendung einer zweiten Identifizierungsmethode, um ihre Identität zu überprüfen. Administratoren haben Zugriff auf viele Kunden- und Mitarbeiterdaten. Wenn Sie MFA benötigen, ist das Kennwort ohne die zweite Identifizierungsmethode nutzlos, selbst wenn das Kennwort des Administrators kompromittiert wird. Wenn Sie die mehrstufige Authentifizierung aktivieren, müssen die Benutzer bei der nächsten Anmeldung eine alternative E-Mail-Adresse und Telefonnummer für die Kontowiederherstellung angeben. Einrichten der mehrstufigen Authentifizierung |
Wenn Sie im Admin Center eine Meldung erhalten, dass Sie nicht über berechtigungen zum Bearbeiten einer Einstellung oder Seite verfügen, liegt dies daran, dass Ihnen eine Rolle zugewiesen wurde, die nicht über diese Berechtigung verfügt. Wenden Sie sich an einen anderen Administrator, um Ihnen die richtigen Berechtigungen zuzuweisen, oder lesen Sie Zuweisen von Administratorrollen , um sich selbst die richtige Rolle zuzuweisen.
Häufig verwendete Microsoft 365 Admin Center-Rollen
Im Microsoft 365 Admin Center können Sie zu Rollenzuweisungen wechseln und dann eine beliebige Rolle auswählen, um deren Detailbereich zu öffnen. Wählen Sie die Registerkarte Berechtigungen aus, um eine detaillierte Liste der Berechtigungen anzuzeigen, über die Administratoren mit dieser Rolle verfügen. Wählen Sie die Registerkarte Zugewiesene oder Zugewiesene Administratoren aus, um Benutzer zu Rollen hinzuzufügen.
Es genügt wahrscheinlich, wenn Sie in Ihrer Organisation nur die nachstehend aufgeführten Rollen zuweisen. Standardmäßig werden zuerst die Rollen angezeigt, die von den meisten Organisationen verwendet werden. Wenn Sie eine Rolle nicht finden können, gehen Sie zum Ende der Liste, und wählen Sie Alle nach Kategorie anzeigen aus. Ausführliche Informationen, einschließlich der einer Rolle zugeordneten Cmdlets, finden Sie unter Microsoft Entra integrierten Rollen.
| Administratorrolle | Wem sollte diese Rolle zugewiesen werden? |
|---|---|
| Abrechnungsadministrator | Weisen Sie die Rolle des Abrechnungsadministrators Benutzern zu, die Einkäufe tätigen, Abonnements und Dienstanforderungen verwalten und den Dienststatus überwachen. Abrechnungsadministratoren können keine Lizenzen zuweisen. Wenn ein Abrechnungsadministrator auch Lizenz- oder Benutzeradministrator ist, besuchen Sie Lizenzen , um Lizenzen zuzuweisen. Abrechnungsadministratoren können ebenfalls: • Verwalten aller Aspekte der Abrechnung • Erstellen und Verwalten von Supporttickets im Azure-Portal |
| Exchange-Administrator | Weisen Sie die Exchange-Administratorrolle Benutzern zu, die die E-Mail-Postfächer Ihrer Benutzer, Microsoft 365-Gruppen und Exchange Online einsehen und verwalten müssen. Exchange-Administratoren sind außerdem zu Folgendem berechtigt: • Wiederherstellen gelöschter Elemente im Postfach eines Benutzers • Einrichten der Delegaten "Senden als" und "Im Auftrag senden" |
| Fabric-Administrator | Weisen Sie Benutzern, die folgende Schritte ausführen müssen, die Rolle Fabric-Administrator zu: • Verwalten aller Administratorfeatures für Microsoft Fabric und Power BI • Bericht über Nutzung und Leistung • Überprüfung und Verwaltung der Überwachung |
| Globaler Administrator | Das Gewähren von zu vielen Benutzern globalen Zugriff stellt ein Sicherheitsrisiko dar, und es wird empfohlen, so wenige globale Administratoren wie möglich zu verwenden. Nur globale Administratoren sind zu Folgendem berechtigt: • Zurücksetzen von Kennwörtern für alle Benutzer • Hinzufügen und Verwalten von Domänen • Aufheben der Blockierung eines anderen globalen Administrators Anmerkung: Die Person, die sich für Microsoft Onlinedienste automatisch zu einem globalen Administrator wird. Darüber hinaus können nur globale Administratoren Abonnements anzeigen und verwalten, die über einen Partner erworben wurden. |
| Globaler Leser | Weisen Sie die Rolle "Globaler Leser" Benutzern zu, die Administratorfunktionen und -einstellungen in Admin Centern einsehen müssen, die der globale Administrator anzeigen kann. Ein Administrator mit der Rolle "Globaler Leser" kann keine Einstellungen bearbeiten. |
| Gruppenadministrator | Weisen Sie die Gruppenadministratorrolle Benutzern zu, die alle Gruppeneinstellungen über Admin Center hinweg verwalten müssen, einschließlich der Microsoft 365 Admin Center und des Microsoft Entra Admin Centers. Gruppenadministratoren sind zu Folgendem berechtigt: • Erstellen, Bearbeiten, Löschen und Wiederherstellen von Microsoft 365-Gruppen • Erstellen und Aktualisieren von Gruppenerstellungs-, Ablauf- und Benennungsrichtlinien • Erstellen, Bearbeiten, Löschen und Wiederherstellen Microsoft Entra Sicherheitsgruppen |
| Helpdesk-Administrator | Weisen Sie die Rolle des Helpdesk-Administrators Benutzern zu, die folgende Aktionen ausführen müssen: • Zurücksetzen von Kennwörtern • Erzwingen der Abmeldung von Benutzern • Verwalten von Serviceanfragen • Überwachen der Dienstintegrität Hinweis: Der Helpdesk-Administrator kann nur Benutzern ohne Administratorrolle sowie Benutzern helfen, welchen folgende Rollen zugewiesen wurden: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter. |
| Lizenzadministrator | Weisen Sie die Rolle des Lizenzadministrators Benutzern zu, die Lizenzen für Benutzer zuweisen und entfernen und deren Verwendungsort bearbeiten müssen. Lizenzadministratoren können ebenfalls: • Erneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierung • Zuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierung |
| Nachrichtencenter-Datenschutzleser | Weisen Sie Benutzern, die Nachrichten und Updates zu Datenschutz und Sicherheit im Microsoft 365-Nachrichtencenter lesen müssen, die Rolle „Datenschutzleser“ im Nachrichtencenter zu. Datenschutzleser im Nachrichtencenter erhalten möglicherweise E-Mail-Benachrichtigungen im Zusammenhang mit dem Datenschutz, je nach ihren Einstellungen, und sie können diese mithilfe der Einstellungen des Nachrichtencenters kündigen. Nur globale Administratoren und Datenschutzleser im Nachrichtencenter können Datenschutznachrichten lesen. Diese Rolle verfügt nicht über die Berechtigung zum Anzeigen, Erstellen oder Verwalten von Dienstanforderungen. Datenschutzleser im Nachrichtencenter können auch folgende Aktionen ausführen: • Überwachen aller Benachrichtigungen im Nachrichtencenter, einschließlich Datenschutznachrichten • Anzeigen von Gruppen, Domänen und Abonnements |
| Nachrichtencenter-Leseberechtigter | Weisen Sie die Rolle „Nachrichtencenter-Leseberechtigter“ Benutzern zu, die Folgendes ausführen müssen: • Überwachen von Nachrichtencenterbenachrichtigungen • Abrufen wöchentlicher E-Mail-Digests von Nachrichtencenterbeiträgen und -updates • Teilen von Nachrichtencenterbeiträgen • Schreibgeschützter Zugriff auf Microsoft Entra Dienste wie Benutzer und Gruppen |
| Migrationsadministrator | Weisen Sie Benutzern, die die folgenden Aufgaben ausführen müssen, die Rolle Microsoft 365-Migrationsadministrator zu: • Verwenden Sie den Migrations-Manager im Microsoft 365 Admin Center, um die Inhaltsmigration zu Microsoft 365 zu verwalten, einschließlich Teams, OneDrive for Business und SharePoint-Websites aus verschiedenen Quellen wie Google Drive, Dropbox und Box. • Auswählen von Migrationsquellen, Erstellen von Migrationsbeständen (z. B. Google Drive-Benutzerlisten), Planen und Ausführen von Migrationen und Herunterladen von Berichten. • Erstellen Sie neue SharePoint-Websites, wenn die Zielwebsites noch nicht vorhanden sind, erstellen Sie SharePoint-Listen unter den SharePoint-Administratorwebsites, und erstellen und aktualisieren Sie Elemente in SharePoint-Listen. • Verwalten sie Die Einstellungen für Migrationsprojekt und den Migrationslebenszyklus für Aufgaben sowie Berechtigungszuordnungen von der Quelle zum Ziel. Anmerkung: Mit dieser Rolle können Sie nur von Google Drive, Box, Dropbox und Egnyte migrieren. Mit dieser Rolle können Sie keine Dateifreigabequellen aus dem SharePoint Admin Center migrieren. Verwenden Sie den SharePoint-Administrator, um aus Dateifreigabequellen zu migrieren. |
| Office-Apps-Administrator | Weisen Sie die Rolle des Office-Apps-Administrators Benutzern zu, die folgende Aktionen ausführen müssen: • Verwenden Sie den Cloudrichtliniendienst für Microsoft 365, um cloudbasierte Richtlinien zu erstellen und zu verwalten. • Erstellen und Verwalten von Serviceanfragen • Verwalten der Neuerungen, die Benutzern in ihren Apps in Microsoft 365 angezeigt werden • Überwachen der Dienstintegrität |
| Organisationsnachrichtenschreiber | Weisen Sie benutzern, die die Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen schreiben, veröffentlichen, verwalten und überprüfen müssen, die Rolle "Organizational Message Writer" zu. |
| Genehmigende Person für Organisationsnachrichten | Weisen Sie Benutzern die Rolle Genehmigende organisatorische Nachrichten zu, die neue Organisationsnachrichten für die Übermittlung im Microsoft 365 Admin Center überprüfen, genehmigen oder ablehnen müssen, bevor sie über Microsoft-Produktoberflächen an Benutzer gesendet werden. |
| Kennwortadministrator | Weisen Sie die Rolle des Kennwortadministrators Benutzern zu, die Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen müssen. |
| Power Plattform-Administrator | Weisen Sie die Power Platform-Administratorrolle Benutzern zu, die Folgendes ausführen müssen: • Verwalten aller Administratorfeatures für Power Apps, Power Automate, Power BI, Microsoft Fabric und Microsoft Purview Data Loss Prevention • Erstellen und Verwalten von Serviceanfragen • Überwachen der Dienstintegrität |
| Berichtleseberechtigter | Weisen Sie die Rolle „Berichtleseberechtigter“ Benutzern zu, die folgende Aktionen ausführen müssen: • Anzeigen von Nutzungsdaten und Aktivitätsberichten im Microsoft 365 Admin Center • Erhalten Sie Zugriff auf das Power BI-Einführungs-Inhaltspaket • Zugriff auf Anmeldeberichte und Aktivitäten in Microsoft Entra ID • Anzeigen von Daten, die von der Microsoft Graph-Berichterstellungs-API zurückgegeben werden |
| Suchadministrator | Weisen Sie Benutzern, die Suchergebnisinhalte erstellen und verwalten müssen, die Suchadministratorrolle zu, und definieren Sie Abfrageeinstellungen für verbesserte Suchergebnisse innerhalb der organization. Der Suchadministrator verwaltet die Microsoft Search-Konfiguration und kann alle Inhaltsverwaltungsaufgaben ausführen, die ein Such-Editor kann. |
| Dienstsupportadministrator | Weisen Sie die Rolle des Dienstsupportadministrators als zusätzliche Rolle Administratoren oder Benutzern zu, die zusätzlich zu ihrer normalen Administratorrolle folgende Aufgaben erfüllen müssen: • Öffnen und Verwalten von Serviceanfragen • Anzeigen und Teilen von Nachrichtencenterbeiträgen • Überwachen der Dienstintegrität |
| SharePoint-Administrator | Weisen Sie die SharePoint-Administratorrolle Benutzern zu, die auf das SharePoint Online Admin Center zugreifen und dieses verwalten müssen. SharePoint-Administratoren sind zudem zu Folgendem berechtigt: • Erstellen und Löschen von Websites • Verwalten von Websitesammlungen und globalen SharePoint-Einstellungen |
| Teams-Administrator | Weisen Sie die Teams-Administratorrolle Benutzern zu, die auf das Teams Admin Center zugreifen und dieses verwalten müssen. Der Teams-Administrator kann auch folgende Aktionen ausführen: • Verwalten von Besprechungen • Verwalten von Konferenzbrücken • Verwalten aller organisationsweiten Einstellungen, einschließlich Verbund-, Teams-Upgrade- und Teams-Clienteinstellungen |
| Benutzeradministrator | Weisen Sie die Rolle des Benutzeradministrators Benutzern zu, die folgende Aktionen für alle Benutzer ausführen müssen: • Hinzufügen von Benutzern und Gruppen • Zuweisen von Lizenzen • Verwalten der meisten Benutzereigenschaften • Erstellen und Verwalten von Benutzeransichten • Aktualisieren von Kennwortablaufrichtlinien • Verwalten von Serviceanfragen • Überwachen der Dienstintegrität Der Benutzeradministrator kann außerdem die unten aufgeführten Aktionen für Benutzer ohne Administratorrolle sowie für Benutzer ausführen, denen die folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter. • Verwalten von Benutzernamen • Löschen und Wiederherstellen von Benutzern • Zurücksetzen von Kennwörtern • Erzwingen der Abmeldung von Benutzern • Aktualisieren von Geräteschlüsseln (FIDO) |
| Erfolgs-Manager für die Benutzererfahrung | Weisen Sie Benutzern, die auf Experience Insights, Die Einführungsbewertung und das Nachrichtencenter im Microsoft 365 Admin Center zugreifen müssen, die Rolle User Experience Success Manager zu. Diese Rolle umfasst die Berechtigungen der Rolle Leser von Nutzungszusammenfassungsberichten. |
Berechtigungen basierend auf Admin Rolle und Gruppentyp auf der Seite "M365 Admin"
| Admin Rolle | M365 Gruppen | Security Groups | Dynamische Verteilergruppen | E-Mail-aktivierte Sicherheits-Gruppen |
|---|---|---|---|---|
| Globaler Administrator | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen |
| Globaler Leser | Lesen | Lesen | Lesen | Lesen |
| Benutzeradministrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen | Lesen | Lesen |
| Exchange-Administrator | Erstellen, Lesen, Aktualisieren, Löschen | Lesen, Aktualisieren – nur Gruppen, die sie besitzen, Löschen – nur Gruppen, die sie besitzen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen |
| Microsoft Teams-Administrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen – nur Gruppen, die sie besitzen | Lesen | Lesen |
| SharePoint-Administrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen von Gruppen, die sie besitzen | Lesen | Lesen |
| Abrechnungsadministrator | Lesen | Lesen | Lesen | Lesen |
| Skype-Administrator | Lesen | Lesen | Lesen | Lesen |
| Dienstadministrator | Lesen | Lesen | Lesen | Lesen |
| Gruppenadministrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen | Lesen | Lesen |
Delegierte Administration für Microsoft-Partner
Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie Partnern Administratorrollen zuweisen, wenn diese Ihre Online-organization für Sie einrichten und verwalten.
Ein Partner kann die folgenden Rollen zuweisen:
Administrator-Agent: Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.
Helpdesk-Agent: Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.
Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Der Partner muss ein autorisierter Partner sein. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.
Volumenlizenzrollen
Berechtigungen für Volumenlizenzinformationen in Microsoft 365 Admin Center werden von den VL-Vereinbarungsadministratoren im Volume Licensing Service Center (VLSC) selbst für VL-Rollen gesteuert, die hauptsächlich Funktionen im Microsoft 365 Admin Center anstelle von VLSC verwenden.
Einige Volumenlizenzierungsfunktionen (VL) sind jetzt in Microsoft 365 Admin Center auf einem neuen Volumelizenzierungsblatt verfügbar, das nur für Volumenlizenzierungsbenutzer sichtbar ist.
Volumenlizenzierungsbenutzern werden keine weiteren Microsoft 365 Admin Center Informationen oder Funktionen angezeigt.
Microsoft 365 Admin Center globalen Administratoren haben keine Rolle beim Zuweisen von VL-Benutzerberechtigungen und müssen VL-Benutzern keine Administratorberechtigungen zuweisen, damit sie das Blatt "Volumenlizenzierung" anzeigen können.
Volumenlizenzierungsbenutzer müssen sich zuerst im Volume Licensing Service Center (VLSC) registrieren, in dem alle Rollen und Berechtigungen für Volumenlizenzfunktionen verwaltet werden.
Weitere Informationen zur Volumenlizenzierung in Microsoft 365 Admin Center finden Sie unter Häufig gestellte Fragen zum Volume Licensing Service Center, oder wenden Sie sich an das Volume Licensing Service-Team.
Verwandte Inhalte
Zuweisen von Administratorrollen (Artikel)
Microsoft Entra Rollen im Microsoft 365 Admin Center (Artikel)
Aktivitätsberichte im Microsoft 365 Admin Center (Artikel)
Exchange Online-Administratorrolle (Artikel)