Informationen zu Administratorrollen im Microsoft 365 Admin Center
Sehen Sie sich die Hilfe zu Microsoft 365 Small Business auf YouTube an.
Microsoft 365- oder Office 365-Abonnement enthält eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer organization mithilfe der Microsoft 365 Admin Center zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern.
Tipp
Wenn Sie Hilfe bei den Schritten in diesem Thema benötigen, erwägen Sie die Zusammenarbeit mit einem Microsoft-Spezialisten für Kleinunternehmen. Mit Business Assist erhalten Sie und Ihre Mitarbeiter rund um die Uhr Zugriff auf Spezialisten für Kleinunternehmen, während Sie Ihr Unternehmen ankurbeln, vom Onboarding bis zur täglichen Nutzung.
Schauen Sie sich an: Was ist ein Administrator?
Schauen Sie sich dieses Video und andere auf unserem YouTube-Kanal an.
- Während Sie bei Microsoft 365 angemeldet sind, wählen Sie den Launcher aus. Wenn Ihnen die Schaltfläche „Administrator“ angezeigt wird, dann sind Sie ein Administrator.
- Wählen Sie Administrator aus, um zum Microsoft 365 Admin Center zu wechseln.
- Wählen Sie in der linken Navigationsleiste Benutzer>Aktive Benutzer aus.
- Wählen Sie die Person aus, die Sie als Administrator festlegen möchten. Die Details des Benutzers werden im rechten Dialogfeld angezeigt.
Bevor Sie beginnen
Im Microsoft 365 Admin Center können Sie Azure AD- und Microsoft Intune-Rollen verwalten. Bei diesen Rollen handelt es sich jedoch um eine Teilmenge der Rollen, die im Azure AD-Portal und im Intune Admin Center verfügbar sind.
Eine vollständige Liste der detaillierten Beschreibungen von Azure AD-Rollen, die Sie im Microsoft 365 Admin Center verwalten können, finden Sie unter Administratorrollenberechtigungen im Thema Integrierte Azure AD-Rollen.
Eine vollständige Liste der detaillierten Intune Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können, finden Sie unter Rollenbasierte Zugriffssteuerung (Role-based access control, RBAC) mit Microsoft Intune.
Weitere Informationen zum Zuweisen von Rollen im Microsoft 365 Admin Centerfinden Sie unter Zuweisen von Administratorrollen.
Sicherheitsrichtlinien für das Zuweisen von Rollen
Da Administratoren Zugriff auf vertrauliche Daten und Dateien haben, empfiehlt es sich, diese Richtlinien zu befolgen, um die Daten Ihrer Organisation besser zu schützen.
| Empfehlung | Warum ist das wichtig? |
|---|---|
| 2 bis 4 globale Administratoren | Globale Administratoren haben fast unbegrenzten Zugriff auf die Einstellungen Ihrer organization und die meisten seiner Daten. Es wird empfohlen, die Anzahl der globalen Administratoren so weit wie möglich zu begrenzen. Eine globale Admin kann ihr Konto versehentlich sperren und eine Kennwortzurücksetzung erfordern. Entweder ein anderer globaler Admin oder ein privilegierter Authentifizierungs-Admin kann das Kennwort eines globalen Admin zurücksetzen. Daher wird empfohlen, mindestens eine weitere globale Admin oder eine privilegierte Authentifizierungs-Admin zu verwenden, falls ein globales Admin sein Konto sperrt. |
| Die Rolle mit den wenigsten Berechtigungen zuweisen | Die Rolle mit den wenigsten Berechtigungen zuweisen bedeutet, Administratoren nur den Zugriff zu gewähren, den sie zum Erledigen einer Aufgabe benötigen. Wenn Sie beispielsweise möchten, dass jemand Mitarbeiterkennwörter zurücksetzt, sollten Sie nicht die unbeschränkte globale Administratorrolle zuweisen, sie sollten eine eingeschränkte Administratorrolle zuweisen, z. B. Kennwortadministrator oder Helpdeskadministrator. |
| Mehrstufige Authentifizierung vorschreiben | Es ist zwar sinnvoll, die mehrstufige Authentifizierung für alle Benutzer vorzuschreiben, für Administratoren sollte sie jedoch unbedingt zur Anmeldung vorgesehen sein. MFA ermöglicht Benutzern die Verwendung einer zweiten Identifizierungsmethode, um ihre Identität zu überprüfen. Administratoren haben Zugriff auf viele Kunden- und Mitarbeiterdaten. Wenn Sie MFA benötigen, ist das Kennwort ohne die zweite Identifizierungsmethode nutzlos, selbst wenn das Kennwort des Administrators kompromittiert wird. Wenn Sie die mehrstufige Authentifizierung aktivieren, müssen die Benutzer bei der nächsten Anmeldung eine alternative E-Mail-Adresse und Telefonnummer für die Kontowiederherstellung angeben. Einrichten der mehrstufigen Authentifizierung |
Wenn Sie im Admin Center eine Meldung erhalten, dass Sie nicht über berechtigungen zum Bearbeiten einer Einstellung oder Seite verfügen, liegt dies daran, dass Ihnen eine Rolle zugewiesen wurde, die nicht über diese Berechtigung verfügt. Wenden Sie sich an einen anderen Administrator, um Ihnen die richtigen Berechtigungen zuzuweisen, oder lesen Sie Zuweisen von Administratorrollen , um sich selbst die richtige Rolle zuzuweisen.
Häufig verwendete Microsoft 365 Admin Center-Rollen
Im Microsoft 365 Admin Center können Sie zu Rollenzuweisungen wechseln und dann eine beliebige Rolle auswählen, um deren Detailbereich zu öffnen. Wählen Sie die Registerkarte Berechtigungen aus, um eine detaillierte Liste der Berechtigungen anzuzeigen, über die Administratoren mit dieser Rolle verfügen. Wählen Sie die Registerkarte Zugewiesene oder Zugewiesene Administratoren aus, um Benutzer zu Rollen hinzuzufügen.
Es genügt wahrscheinlich, wenn Sie in Ihrer Organisation nur die nachstehend aufgeführten Rollen zuweisen. Standardmäßig werden zuerst die Rollen angezeigt, die von den meisten Organisationen verwendet werden. Wenn Sie eine Rolle nicht finden können, gehen Sie zum Ende der Liste, und wählen Sie Alle nach Kategorie anzeigen aus. (Ausführliche Informationen, einschließlich der mit einer Rolle verknüpften Cmdlets, finden Sie unter Integrierte Azure AD-Rollen.)
| Administratorrolle | Wem sollte diese Rolle zugewiesen werden? |
|---|---|
| Abrechnungsadministrator | Weisen Sie die Rolle des Abrechnungsadministrators Benutzern zu, die Einkäufe tätigen, Abonnements und Dienstanforderungen verwalten und den Dienststatus überwachen. Abrechnungsadministratoren können ebenfalls: – Alle Aspekte der Abrechnung verwalten – Supporttickets im Azure-Portal erstellen und verwalten |
| Exchange-Administrator | Weisen Sie die Exchange-Administratorrolle Benutzern zu, die die E-Mail-Postfächer Ihrer Benutzer, Microsoft 365-Gruppen und Exchange Online einsehen und verwalten müssen. Exchange-Administratoren sind außerdem zu Folgendem berechtigt: - Wiederherstellen gelöschter Elemente im Postfach eines Benutzers - Einrichten von "Senden als"- und "Senden im Auftrag von"-Stellvertretungen |
| Fabric-Administrator | Weisen Sie Benutzern, die folgende Schritte ausführen müssen, die Rolle Fabric-Administrator zu: – Verwalten aller Administratorfeatures für Microsoft Fabric und Power BI – Bericht über Nutzung und Leistung – Überprüfen und Verwalten der Überwachung |
| Globaler Administrator | Weisen Sie Benutzern, die globalen Zugriff auf die meisten Verwaltungsfunktionen und Daten in Microsoft Online-Diensten benötigen, die Rolle des globalen Administrators zu. Das Gewähren von zu vielen Benutzern globalen Zugriff stellt ein Sicherheitsrisiko dar, und es wird empfohlen, zwischen zwei und vier globale Administratoren zu verwenden. Nur globale Administratoren sind zu Folgendem berechtigt: - Zurücksetzen von Kennwörtern für alle Benutzer - Hinzufügen und Verwalten von Domänen – Aufheben der Blockierung eines anderen globalen Administrators Hinweis: Die Person, die sich für Microsoft Onlinedienste registriert hat, wird automatisch globaler Administrator. |
| Globaler Leser | Weisen Sie die Rolle "Globaler Leser" Benutzern zu, die Administratorfunktionen und -einstellungen in Admin Centern einsehen müssen, die der globale Administrator anzeigen kann. Ein Administrator mit der Rolle "Globaler Leser" kann keine Einstellungen bearbeiten. |
| Gruppenadministrator | Weisen Sie die Rolle des Gruppenadministrators Benutzern zu, die alle Gruppeneinstellungen in den Admin Centern verwalten müssen, einschließlich des Microsoft 365 Admin Centers und des Azure Active Directory-Portals. Gruppenadministratoren sind zu Folgendem berechtigt: - Erstellen, Bearbeiten, Löschen und Wiederherstellen von Microsoft 365-Gruppen - Einrichten und Aktualisieren von Erstellung, Ablauf und Benennungsrichtlinien von bzw. für Gruppen - Erstellen, Bearbeiten, Löschen und Wiederherstellen von Azure Active Directory-Sicherheitsgruppen |
| Helpdesk-Administrator | Weisen Sie die Rolle des Helpdesk-Administrators Benutzern zu, die folgende Aktionen ausführen müssen: - Kennwörter zurücksetzen - Die Abmeldung von Benutzern erzwingen - Serviceanfragen verwalten - Den Dienststatus überwachen Hinweis: Der Helpdesk-Administrator kann nur Benutzern ohne Administratorrolle sowie Benutzern helfen, welchen folgende Rollen zugewiesen wurden: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter. |
| Lizenzadministrator | Weisen Sie die Rolle des Lizenzadministrators Benutzern zu, die Lizenzen für Benutzer zuweisen und entfernen und deren Verwendungsort bearbeiten müssen. Lizenzadministratoren können ebenfalls: – Lizenzzuweisungen für die gruppenbasierte Lizenzierung erneut verarbeiten – Produktlizenzen für die gruppenbasierte Lizenzierung an Gruppen zuweisen |
| Nachrichtencenter-Datenschutzleser | Weisen Sie Benutzern, die Nachrichten und Updates zu Datenschutz und Sicherheit im Microsoft 365-Nachrichtencenter lesen müssen, die Rolle „Datenschutzleser“ im Nachrichtencenter zu. Datenschutzleser im Nachrichtencenter erhalten möglicherweise E-Mail-Benachrichtigungen im Zusammenhang mit dem Datenschutz, je nach ihren Einstellungen, und sie können diese mithilfe der Einstellungen des Nachrichtencenters kündigen. Nur globale Administratoren und Datenschutzleser im Nachrichtencenter können Datenschutznachrichten lesen. Diese Rolle verfügt nicht über die Berechtigung zum Anzeigen, Erstellen oder Verwalten von Dienstanforderungen. Datenschutzleser im Nachrichtencenter können auch folgende Aktionen ausführen: – Überwachen aller Benachrichtigungen im Nachrichtencenter, einschließlich Datenschutznachrichten – Anzeigen von Gruppen, Domänen und Abonnements |
| Nachrichtencenter-Leseberechtigter | Weisen Sie die Rolle „Nachrichtencenter-Leseberechtigter“ Benutzern zu, die Folgendes ausführen müssen: – Überwachen der Nachrichtencenter-Benachrichtigungen – Wöchentliche E-Mail-Zusammenfassungen von Beiträgen und Aktualisierungen des Nachrichtencenters erhalten – Freigeben von Beiträgen im Nachrichtencenter – Schreibgeschützten Zugriff auf Azure AD-Dienste haben, wie z. B. Benutzer und Gruppen |
| Office-Apps-Administrator | Weisen Sie die Rolle des Office-Apps-Administrators Benutzern zu, die folgende Aktionen ausführen müssen: – Verwenden Sie den Cloudrichtliniendienst für Microsoft 365, um cloudbasierte Richtlinien zu erstellen und zu verwalten. - Serviceanfragen erstellen und verwalten – Verwalten der Neuerungen, die Benutzern in ihren Microsoft 365-Apps angezeigt werden - Den Dienststatus überwachen |
| Organizational Message Writer | Weisen Sie benutzern, die die Organisationsnachrichten für Endbenutzer über Microsoft-Produktoberflächen schreiben, veröffentlichen, verwalten und überprüfen müssen, die Rolle "Organizational Message Writer" zu. |
| Kennwortadministrator | Weisen Sie die Rolle des Kennwortadministrators Benutzern zu, die Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen müssen. |
| Power Plattform-Administrator | Weisen Sie die Power Platform-Administratorrolle Benutzern zu, die Folgendes ausführen müssen: – Verwalten aller Administratorfeatures für Power Apps, Power Automate, Power BI, Microsoft Fabric und Microsoft Purview Data Loss Prevention – Serviceanfragen erstellen und verwalten – Den Dienststatus überwachen |
| Berichtleseberechtigter | Weisen Sie die Rolle „Berichtleseberechtigter“ Benutzern zu, die folgende Aktionen ausführen müssen: – Nutzungsdaten und Aktivitätsberichte im Microsoft 365 Admin Center anzeigen – Zugriff auf das Inhaltspakets zur Power BI-Einführung erhalten – Zugriff auf Anmeldeberichte und Aktivitäten in Azure AD erhalten – Vom Microsoft Graph-Berichterstellungs--API zurückgegebene Daten anzeigen |
| Dienstsupportadministrator | Weisen Sie die Rolle des Dienstsupportadministrators als zusätzliche Rolle Administratoren oder Benutzern zu, die zusätzlich zu ihrer normalen Administratorrolle folgende Aufgaben erfüllen müssen: - Serviceanfragen öffnen und verwalten - Nachrichtencenter-Beiträge anzeigen und freigeben - Den Dienststatus überwachen |
| SharePoint-Administrator | Weisen Sie die SharePoint-Administratorrolle Benutzern zu, die auf das SharePoint Online Admin Center zugreifen und dieses verwalten müssen. SharePoint-Administratoren sind zudem zu Folgendem berechtigt: - Erstellen und Löschen von Websites - Verwalten von Websitesammlungen und globalen SharePoint-Einstellungen |
| Teams-Administrator | Weisen Sie die Teams-Administratorrolle Benutzern zu, die auf das Teams Admin Center zugreifen und dieses verwalten müssen. Der Teams-Administrator kann auch folgende Aktionen ausführen: - Verwalten von Besprechungen - Verwalten von Konferenzbrücken - Verwalten aller organisationsweiten Einstellungen einschließlich Partnerverbund, Microsoft Teams-Upgrades und Einstellungen des Microsoft Teams-Clients |
| Benutzeradministrator | Weisen Sie die Rolle des Benutzeradministrators Benutzern zu, die folgende Aktionen für alle Benutzer ausführen müssen: - Benutzer und Gruppen hinzufügen - Lizenzen zuweisen - Die meisten Benutzereigenschaften verwalten - Benutzeransichten erstellen und verwalten - Kennwortablaufrichtlinien aktualisieren - Serviceanfragen verwalten - Den Dienststatus überwachen Der Benutzeradministrator kann außerdem die unten aufgeführten Aktionen für Benutzer ohne Administratorrolle sowie für Benutzer ausführen, denen die folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter. - Benutzernamen verwalten - Benutzerkonten löschen und wiederherstellen - Kennwörter zurücksetzen - Die Abmeldung von Benutzern erzwingen - (FIDO)-Geräteschlüssel aktualisieren |
| User Experience Success Manager | Weisen Sie Benutzern, die auf Experience Insights, Die Einführungsbewertung und das Nachrichtencenter im Microsoft 365 Admin Center zugreifen müssen, die Rolle User Experience Success Manager zu. Diese Rolle umfasst die Berechtigungen der Rolle Leser von Nutzungszusammenfassungsberichten. |
Berechtigungen basierend auf Admin Rolle und Gruppentyp auf der Seite "M365 Admin"
| Admin Rolle | M365-Gruppen | Security Groups | Dynamische Verteilergruppen | E-Mail-aktivierte Sicherheitsgruppen |
|---|---|---|---|---|
| Globaler Administrator | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen |
| Globaler Leser | Lesen | Lesen | Lesen | Lesen |
| Benutzeradministrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen | Lesen | Lesen |
| Exchange-Administrator | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen – nur Gruppen, die sie besitzen | Erstellen, Lesen, Aktualisieren, Löschen | Erstellen, Lesen, Aktualisieren, Löschen |
| Microsoft Teams-Administrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen – nur Gruppen, die sie besitzen | Lesen | Lesen |
| SharePoint-Administrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen von Gruppen, die sie besitzen | Lesen | Lesen |
| Abrechnungsadministrator | Lesen | Lesen | Lesen | Lesen |
| Skype-Administrator | Lesen | Lesen | Lesen | Lesen |
| Dienstadministrator | Lesen | Lesen | Lesen | Lesen |
| Gruppenadministrator | Erstellen, Lesen, Aktualisieren, Löschen, Exo-Eigenschaften können nicht aktualisiert werden | Erstellen, Lesen, Aktualisieren, Löschen | Lesen | Lesen |
Delegierte Administration für Microsoft-Partner
Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie Partnern Administratorrollen zuweisen, wenn diese Ihre Online-organization für Sie einrichten und verwalten.
Ein Partner kann die folgenden Rollen zuweisen:
Administrator-Agent: Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.
Helpdesk-Agent: Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.
Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Der Partner muss ein autorisierter Partner sein. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.
Volumenlizenzrollen
Berechtigungen für Volumenlizenzinformationen in Microsoft 365 Admin Center werden von den VL-Vereinbarungsadministratoren im Volume Licensing Service Center (VLSC) selbst für VL-Rollen gesteuert, die hauptsächlich Funktionen im Microsoft 365 Admin Center anstelle von VLSC verwenden.
Einige Volumenlizenzierungsfunktionen (VL) sind jetzt in Microsoft 365 Admin Center auf einem neuen Volumelizenzierungsblatt verfügbar, das nur für Volumenlizenzierungsbenutzer sichtbar ist.
Volumenlizenzierungsbenutzern werden keine weiteren Microsoft 365 Admin Center Informationen oder Funktionen angezeigt.
Microsoft 365 Admin Center globalen Administratoren haben keine Rolle beim Zuweisen von VL-Benutzerberechtigungen und müssen VL-Benutzern keine Administratorberechtigungen zuweisen, damit sie das Blatt "Volumenlizenzierung" anzeigen können.
Volumenlizenzierungsbenutzer müssen sich zuerst im Volume Licensing Service Center (VLSC) registrieren, in dem alle Rollen und Berechtigungen für Volumenlizenzfunktionen verwaltet werden.
Weitere Informationen zur Volumenlizenzierung in Microsoft 365 Admin Center findest du unter Häufig gestellte Fragen zum Volume Licensing Service Center, oder wende dich an das Volume Licensing Service-Team.
Verwandte Inhalte
Zuweisen von Administratorrollen (Artikel)
Azure AD-Rollen im Microsoft 365 Admin Center (Artikel)
Aktivitätsberichte im Microsoft 365 Admin Center (Artikel)
Exchange Online-Administratorrolle (Artikel)