Berechtigungen in EOP als eigenständige Lösung
Eigenständige Exchange Online Protection (EOP) organization ohne Exchange Online Postfächer verwendet das RBAC-Berechtigungsmodell (Role Based Access Control), um Administratoren problemlos Berechtigungen zu erteilen. Sie können die Berechtigungsfeatures in eigenständigem EOP verwenden, um Ihre neue organization schnell in Betrieb zu nehmen.
Informationen zum Erteilen von Berechtigungen für Benutzer finden Sie unter Verwalten von Administratorrollengruppen in EOP.
Weitere Informationen zu Berechtigungen in Microsoft 365 finden Sie unter Informationen zu Administratorrollen.
Rollenbasierte Berechtigungen
Die Administratorberechtigungen, die Sie Benutzern gewähren, basieren auf Verwaltungsrollen. Eine Verwaltungsrolle definiert die Cmdlets, die für eine Reihe von bestimmten Aufgaben verfügbar sind. Das Exchange Admin Center (EAC) und eigenständige EOP PowerShell verwenden beide Cmdlets. Wenn Sie also Zugriff auf ein Cmdlet gewähren, erhalten Benutzer die Berechtigung, Aufgaben im EAC oder in eigenständiger EOP PowerShell auszuführen. Beispielsweise definiert die Rolle E-Mail-Empfänger die Cmdlets, die zum Ändern von E-Mail-Benutzern erforderlich sind.
Rollengruppen
Um das Zuweisen von Rollen zu Benutzern zu vereinfachen, verwendet eigenständiges EOP Rollengruppen. Verwaltungsrollen werden Rollengruppen zugewiesen, und die Mitglieder der Rollengruppe erhalten die Berechtigungen, die den Rollen zugeordnet sind. Anders ausgedrückt: Verwaltungsrollen werden Benutzern nicht direkt zugewiesen. sie werden der Rollengruppe zugewiesen. Mit diesem Modell können Sie vielen Rollengruppenmitgliedern gleichzeitig viele Rollen zuweisen. Rollengruppenmitglieder können E-Mail-Benutzer, E-Mail-aktivierte Sicherheitsgruppen, Benutzer aus dem Microsoft 365 Admin Center und andere Rollengruppen sein.
Die folgende Abbildung zeigt die Beziehung zwischen Benutzern, Rollengruppen und Rollen.
Die verfügbaren Rollengruppen in eigenständigem EOP werden in der folgenden Tabelle beschrieben.
| Rollengruppe | Beschreibung | Zugewiesene Standardrollen |
|---|---|---|
| Kommunikationscompliance | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung |
| Kommunikationscomplianceadministratoren | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Kommunikationscompliance-Administrator |
| Complianceadministrator | Verwalten Sie Einstellungen für die Geräteverwaltung, die Verhinderung von Datenverlust, Berichte und die Aufbewahrung. | Kommunikationscompliance-Administrator insider risk management Admin |
| Complianceverwaltung | Konfigurieren und verwalten Sie Konformitätseinstellungen innerhalb der organization, einschließlich Verhinderung von Datenverlust (Data Loss Prevention, DLP), wenn Ihr Abonnement ÜBER DLP-Funktionen verfügt. Mitglieder der Rolle "Complianceadministrator" in Microsoft Entra ID automatisch die Berechtigungen dieser Rollengruppe erhalten. |
Überwachungsprotokolle Compliance-Admin Verhinderung von Datenverlust Verwaltung von Informationsrechten Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Discoveryverwaltung | Durchsuchungen von Postfächern im Exchange-organization nach Daten durchführen, die bestimmte Kriterien erfüllen. | Rechtliche Aufbewahrungspflicht Postfachsuche |
| Helpdesk | Anzeigen und Verwalten von E-Mail-Benutzern | Kennwort zurücksetzen Benutzeroptionen Schreibgeschützte Empfänger |
| Nachrichtenschutz | Verwalten von Schutzfunktionen (Antispam, Antischadsoftware usw.). | Transporthygiene Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Informationsschutz | Vollständige Kontrolle über alle Information Protection-Features, einschließlich Vertraulichkeitsbezeichnungen und deren Richtlinien, DLP, alle Klassifizierertypen, Aktivitäts- und Inhalts-Explorer und alle zugehörigen Berichte. | Information Protection-Administrator Information Protection-Ermittler Information Protection-Leser |
| Information Protection-Administratoren | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Information Protection-Administrator |
| Information Protection-Analysten | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Keine |
| Information Protection-Ermittler | Durchsuchen des einheitlichen Überwachungsprotokolls | Information Protection-Ermittler |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Information Protection-Leser |
| Insider-Risikomanagement | Verwalten sie die Zugriffssteuerung für das Insider-Risikomanagement. | insider risk management Admin Untersuchung des Insider-Risikomanagements |
| Insider-Risikomanagement-Administratoren | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | insider risk management Admin |
| Insider-Risikomanagement-Prüfer | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Untersuchung des Insider-Risikomanagements |
| Organisationsverwaltung | Admin Zugriff auf die gesamte organization und die Möglichkeit, fast jede Aufgabe auszuführen. Mitglieder der Rolle "Globaler Administrator" in Microsoft Entra ID automatisch die Berechtigungen dieser Rollengruppe erhalten. Wichtig: Da die Rollengruppe "Organisationsverwaltung" eine leistungsstarke Rolle ist, sollten nur Benutzer, die administrative Aufgaben auf Organisationsebene ausführen, Mitglieder dieser Rollengruppe sein. |
Überwachungsprotokolle Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung Compliance-Admin Verhinderung von Datenverlust Dynamische Verteilergruppen E-Mail-Adressrichtlinien Verbundfreigabe Information Protection-Administrator Information Protection-Ermittler Information Protection-Leser Verwaltung von Informationsrechten insider risk management Admin Untersuchung des Insider-Risikomanagements Journaling Rechtliche Aufbewahrungspflicht E-Mail-aktivierte Öffentliche Ordner Erstellen von E-Mail-Empfängern E-Mail-Empfänger E-Mail-Tipps Nachrichtenverfolgung Migration Postfächer verschieben Benutzerdefinierte Apps einer Organisation Marketplace-Apps einer Organisation Organisationsclientzugriff Organisationskonfiguration Organisationstransporteinstellungen privacy management Admin Untersuchung des Datenschutzmanagements Öffentliche Ordner Empfängerrichtlinien Remotedomänen und akzeptierte Domänen Kennwort zurücksetzen Aufbewahrungsverwaltung Rollenverwaltung Sicherheitsadministrator Erstellen und Mitgliedschaft von Sicherheitsgruppen Sicherheitsleseberechtigter TenantPlacesManagement Transporthygiene Transportregeln Benutzeroptionen Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Datenschutzverwaltung | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | privacy management Admin Untersuchung des Datenschutzmanagements |
| Datenschutzverwaltungsadministratoren | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | privacy management Admin |
| Datenschutz-Management-Ermittler | Obwohl diese Rollengruppe verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Untersuchung des Datenschutzmanagements |
| Empfängerverwaltung | Erstellen, Verwalten und Entfernen von Empfängerobjekten im organization. | Dynamische Verteilergruppen Erstellen von E-Mail-Empfängern E-Mail-Empfänger Nachrichtenverfolgung Migration Postfächer verschieben Empfängerrichtlinien Kennwort zurücksetzen |
| Datensatzverwaltung | Konfigurieren Sie Kompatibilitätsfeatures wie Aufbewahrungsrichtlinientags, Nachrichtenklassifizierungen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet). | Überwachungsprotokolle Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln |
| RIM-MailboxAdmins<GUID> | Nicht verwendet | ApplicationImpersonation |
| Sicherheitsadministrator | Konfigurieren Sie alle Aspekte des Schutzes im organization (Antispam, Antischadsoftware, Antispoofing, Quarantäne usw.). Mitglieder der Rolle "Sicherheitsadministrator" in Microsoft Entra ID automatisch die Berechtigungen dieser Rollengruppe erhalten. |
Sicherheitsadministrator SensitivityLabelAdministrator |
| Sicherheitsoperator | Verwalten von Sicherheitswarnungen und Anzeigen von Berichten und Einstellungen von Sicherheitsfeatures Mitglieder der Rolle "Sicherheitsoperator" in Microsoft Entra ID automatisch die Berechtigungen dieser Rollengruppe erhalten. |
Mandanten-AllowBlockList-Manager |
| SecurityReader | Sichtgeschützter Zugriff auf alle Aspekte des Schutzes im organization (Antispam, Antischadsoftware, Anti-Spoofing, Quarantäne usw.). Mitglieder der Rolle "Sicherheitsleseberechtigter" in Microsoft Entra ID automatisch die Berechtigungen dieser Rollengruppe erhalten. |
Sicherheitsleseberechtigter |
| <TenantAdmins_Number> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Dieser Rollengruppe sind keine Rollen zugewiesen, aber sie ist Mitglied der Rollengruppe Organisationsverwaltung und erbt diese Berechtigungen. | Keine |
| Organisationsverwaltung mit Leserechten | Anzeigen von Empfänger-, Schutz- und Konfigurationsobjekten und deren Eigenschaften im organization. | Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
Wenn Sie in einem kleinen organization arbeiten, verwenden Sie möglicherweise nur die Rollengruppe Organisationsverwaltung. In größeren Organisationen mit Administratoren, die für bestimmte Aufgaben verantwortlich sind (z. B. nur empfängerkonfiguration), können Sie auch die Rollengruppe Empfängerverwaltung verwenden. Administratoren können dann ihre spezifischen Bereiche ohne Berechtigungen in Bereichen verwalten, für die sie nicht verantwortlich sind.
Wenn die integrierten Rollengruppen in Exchange Online nicht mit der Jobfunktion Ihrer Administratoren übereinstimmen, können Sie Rollengruppen erstellen und ihnen Rollen hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in eigenständigem EOP.
Rollen
Die integrierten Rollen, die in eigenständigem EOP verfügbar sind, werden in der folgenden Tabelle beschrieben.
| Rolle | Beschreibung | Standardrollengruppenzuweisungen |
|---|---|---|
| Adresslisten | Ermöglicht Administratoren das Verwalten von Adresslisten, globalen Adresslisten und Offlineadresslisten in einem organization. | Keine |
| Überwachungsprotokolle | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Kommunikationscompliance-Administrator | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Kommunikationscompliance Kommunikationscomplianceadministratoren Complianceadministrator Organisationsverwaltung |
| Kommunikationscompliance-Untersuchung | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Organisationsverwaltung |
| Compliance-Admin | Ermöglicht Benutzern das Anzeigen und Bearbeiten von Einstellungen und Berichten für Kompatibilitätsfeatures. | Complianceverwaltung Organisationsverwaltung |
| Verhinderung von Datenverlust | Ermöglicht Administratoren das Verwalten von Dlp-Einstellungen (Data Loss Prevention, Verhinderung von Datenverlust) im organization. | Complianceverwaltung Organisationsverwaltung |
| Dynamische Verteilergruppen | Erstellen und verwalten Sie alle Verteilergruppen, E-Mail-aktivierten Sicherheitsgruppen und Mitglieder. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Adressrichtlinien | Ermöglicht Administratoren das Verwalten von E-Mail-Adressrichtlinien in einem organization. | Organisationsverwaltung |
| Verbundfreigabe | Ermöglicht Administratoren das Verwalten der gesamtstruktur- und organization Freigabe in einem organization. | Organisationsverwaltung |
| Information Protection-Administrator | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Informationsschutz Information Protection-Administratoren Organisationsverwaltung |
| Information Protection-Ermittler | Durchsuchen Sie das einheitliche Überwachungsprotokoll. | Informationsschutz Information Protection-Ermittler Organisationsverwaltung |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Informationsschutz Information Protection-Leser Organisationsverwaltung |
| Verwaltung von Informationsrechten | Verwalten Sie die IRM-Features (Information Rights Management) von Exchange in einem organization. | Complianceverwaltung Organisationsverwaltung |
| insider risk management Admin | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Complianceadministrator Insider-Risikomanagement Insider-Risikomanagement-Administratoren Organisationsverwaltung |
| Untersuchung des Insider-Risikomanagements | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Insider-Risikomanagement Insider-Risikomanagement-Prüfer Organisationsverwaltung |
| Journaling | Ermöglicht Administratoren das Verwalten der Journalkonfiguration in einem organization. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rechtliche Aufbewahrungspflicht | Ermöglicht Administratoren das Konfigurieren, ob Daten in einem Postfach für Rechtsstreitigkeitszwecke in einem organization aufbewahrt werden sollen. | Discoveryverwaltung Organisationsverwaltung |
| E-Mail-aktivierte Öffentliche Ordner | Ermöglicht Administratoren zu konfigurieren, ob einzelne öffentliche Ordner in einem organization E-Mail-aktiviert oder E-Mail deaktiviert sind. | Organisationsverwaltung |
| Erstellen von E-Mail-Empfängern | Erstellen und Entfernen von E-Mail-Benutzern und E-Mail-Kontakten. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Empfänger | Ändern vorhandener E-Mail-Benutzer und E-Mail-Kontakte. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Tipps | Ermöglicht Administratoren das Verwalten von E-Mail-Info-Einstellungen in einem organization. | Organisationsverwaltung |
| Postfachimport/-export | Ermöglicht Administratoren das Importieren und Exportieren von Postfachinhalten. | Organisationsverwaltung |
| Postfachsuche | Ermöglicht Administratoren das Durchsuchen des Inhalts eines oder mehrerer Postfächer in einem organization. | Discoveryverwaltung |
| Nachrichtennachverfolgung | Ermöglicht Administratoren das Nachverfolgen von Nachrichten in einem organization. | Complianceverwaltung Organisationsverwaltung Empfängerverwaltung Datensatzverwaltung |
| Migration | Ermöglicht Administratoren das Migrieren von Postfächern und Postfachinhalten in oder aus einem organization. | Organisationsverwaltung Empfängerverwaltung |
| Postfächer verschieben | Ermöglicht Administratoren das Verschieben von Postfächern. | Organisationsverwaltung Empfängerverwaltung |
| Organisationsclientzugriff | Ermöglicht Administratoren das Verwalten von Clientzugriffseinstellungen in einem organization. | Organisationsverwaltung |
| Organisationskonfiguration | Ermöglicht Administratoren das Verwalten organization-weiten Einstellungen. | Organisationsverwaltung |
| Organisationstransporteinstellungen | Ermöglicht Administratoren das Verwalten von Hybrid- und organization einstellungen für den E-Mail-Transport. | Organisationsverwaltung |
| privacy management Admin | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Organisationsverwaltung Datenschutzverwaltung Datenschutzverwaltungsadministratoren |
| Untersuchung des Datenschutzmanagements | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Organisationsverwaltung Datenschutzverwaltung Datenschutz-Management-Ermittler |
| Öffentliche Ordner | Ermöglicht Administratoren das Verwalten öffentlicher Ordner in einem organization. | Organisationsverwaltung |
| Empfängerrichtlinien | Ermöglicht Administratoren das Verwalten von Empfängerrichtlinien (Authentifizierungsrichtlinien, Datenverschlüsselungsrichtlinien für mobile Gerätepostfachrichtlinien und Outlook im Web Postfachrichtlinien) in einem organization. | Organisationsverwaltung Empfängerverwaltung |
| Remotedomänen und akzeptierte Domänen | Verwalten von Remotedomänen, akzeptierten Domänen und Connectors. | Organisationsverwaltung |
| Kennwort zurücksetzen | Ermöglicht Administratoren das Festlegen von Kennwörtern für Raumpostfächer. | Helpdesk Organisationsverwaltung Empfängerverwaltung |
| Aufbewahrungsverwaltung | Ermöglicht Benutzern die Verwaltung von Aufbewahrungsrichtlinien. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rollenverwaltung | Ermöglicht Administratoren das Verwalten von Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträgen, Zuweisungen und Bereichen in einem organization. | Organisationsverwaltung |
| Sicherheitsadministrator | Verwalten Der Konfiguration und der Berichte für alle Sicherheits- und Schutzfeatures. | Organisationsverwaltung Sicherheitsadministrator |
| Erstellen und Mitgliedschaft von Sicherheitsgruppen | Erstellen und Verwalten von E-Mail-aktivierten Sicherheitsgruppen. | Organisationsverwaltung |
| Sicherheitsleseberechtigter | Zeigen Sie die Konfiguration und berichte für Sicherheits- und Schutzfeatures an. | Organisationsverwaltung Sicherheitsleseberechtigter |
| SensitivityLabelAdministrator | Ermöglicht Benutzern das Bearbeiten von Vertraulichkeitsbezeichnungseigenschaften. | Organisationsverwaltung Sicherheitsadministrator |
| Mandanten-AllowBlockList-Manager | Ermöglicht Benutzern die Verwaltung der Mandantenliste für Zulassungs-/Sperrungslisten. | Organisationsverwaltung Sicherheitsoperator |
| TenantPlacesManagement | Obwohl diese Rolle verfügbar ist, ist sie in eigenständigem EOP nicht nützlich. | Organisationsverwaltung |
| Transporthygiene | Verwalten von Antischadsoftware, Antispamfunktionen und Anti-Spoofing-Features. | Nachrichtenschutz Organisationsverwaltung |
| Transportregeln | Erstellen und Verwalten von Nachrichtenflussregeln (auch als Transportregeln bezeichnet). | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Benutzeroptionen | Ermöglicht Administratoren das Anzeigen der Outlook im Web Optionen von Benutzern im organization. | Helpdesk Organisationsverwaltung |
| Überwachungsprotokolle nur anzeigen | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung |
| Schreibgeschützte Konfiguration | Zeigen Sie alle Einstellungen für organization und Nachrichtenfluss (nicht empfängerlos) im organization an. | Complianceverwaltung Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
| Schreibgeschützte Empfänger | Anzeigen von Empfängereigenschaften und Ausführen der Nachrichtenablaufverfolgung. | Complianceverwaltung Helpdesk Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
Hinweis
- Rollennamen, die mit dem Präfix "My" beginnen (z. B. MyContactInformation), sind Endbenutzerrollen. Endbenutzerrollen werden Benutzern in Rollenzuweisungsrichtlinien zugewiesen, mit denen Benutzer mit Objekten arbeiten können, die sie besitzen (z. B. ihr eigenes Konto oder von ihnen erstellte Verteilergruppen). Weitere Informationen finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
- Rollennamen, die mit "Application" beginnen oder enden, sind Teil von RBAC for Applications in Exchange Online. Weitere Informationen finden Sie unter Rollenbasierte Access Control für Anwendungen in Exchange Online.
Microsoft 365-Berechtigungen in eigenständigem EOP
Wenn Sie einen Benutzer im Microsoft 365 Admin Center erstellen, können Sie auswählen, ob dem Benutzer verschiedene Microsoft Entra Rollen (z. B. globaler Administrator, Exchange-Administrator und globaler Leser) zugewiesen werden sollen. Die meisten Microsoft Entra Rollen gewähren dem Benutzer Administratorberechtigungen in EOP.
Hinweis
Das Konto, das Sie zum Erstellen Ihrer eigenständigen EOP-organization verwendet haben, wird automatisch der Rolle "Globaler Administrator" zugewiesen.
In der folgenden Tabelle sind die Microsoft Entra Rollen und die eigenständigen EOP-Rollengruppen aufgeführt, denen sie entsprechen. Weitere Informationen zu diesen Rollen finden Sie unter Informationen zu Administratorrollen.
| Microsoft Entra Rolle | EOP-Rollengruppe |
|---|---|
| Globaler Administrator | Organisationsverwaltung Hinweis: Die Rolle "Globaler Administrator" und die Rollengruppe "Organisationsverwaltung" sind über eine spezielle Rollengruppe "Unternehmensadministrator" miteinander verbunden. Die Rollengruppe "Unternehmensadministrator" wird intern verwaltet und kann nicht direkt geändert werden. |
| Exchange-Administrator | Organisationsverwaltung |
| Globaler Leser | ViewOnlyOrganization Management |
| Helpdesk-Administrator | Helpdesk |
| Dienst-Supportadministrator | Keine |
| SharePoint-Administrator | Keine |
| Teams-Administrator | Keine |
| Benutzeradministrator | Empfängerverwaltung |
| Erfolgs-Manager für die Benutzererfahrung | Keine |
Benutzern können Administratorrechte in EOP gewährt werden, ohne sie Microsoft Entra Rollen hinzuzufügen, indem Sie den Benutzer als Mitglied einer EOP-Rollengruppe hinzufügen. Der Benutzer erhält Berechtigungen in EOP, aber er erhält keine Berechtigungen in anderen Microsoft 365-Workloads. Anweisungen finden Sie unter Verwenden des EAC zum Verwalten von Rollengruppen.