Info zu Administratorrollen

Das Microsoft 365- oder Office 365-Abonnement bietet eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer Organisation über das Microsoft 365 Admin Center zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet, und über diese Rollen erhalten Personen in Ihrer Organisation Berechtigungen zum Ausführen bestimmter Aufgaben in den Admin Centern.

Im Microsoft 365 Admin Center können Sie Azure AD- und Microsoft Intune-Rollen verwalten. Bei diesen Rollen handelt es sich jedoch um eine Teilmenge der Rollen, die im Azure AD-Portal und im Intune Admin Center verfügbar sind.

Schauen Sie sich an: Was ist ein Administrator?

  1. Während Sie bei Microsoft 365 angemeldet sind, wählen Sie den Launcher aus. Wenn Ihnen die Schaltfläche „Administrator“ angezeigt wird, dann sind Sie ein Administrator.
  2. Wählen Sie Administrator aus, um zum Microsoft 365 Admin Center zu wechseln.
  3. Wählen Sie in der linken Navigationsleiste Benutzer > Aktive Benutzer aus.
  4. Wählen Sie die Person aus, die Sie als Administrator festlegen möchten. Die Details des Benutzers werden im rechten Dialogfeld angezeigt.

Bevor Sie beginnen

Suchen Sie nach der vollständigen Liste der detaillierten Azure AD-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können? Diese finden Sie unter "Administratorrollenberechtigungen in Azure Active Directory". Integrierte Azure AD-Rollen.

Suchen Sie nach der vollständigen Liste der detaillierten Intune-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können? Sehen Sie sich Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune an.

Weitere Informationen zum Zuweisen von Rollen im Microsoft 365 Admin Centerfinden Sie unter Zuweisen von Administratorrollen.

Sicherheitsrichtlinien für das Zuweisen von Rollen

Da Administratoren Zugriff auf vertrauliche Daten und Dateien haben, empfiehlt es sich, diese Richtlinien zu befolgen, um die Daten Ihrer Organisation besser zu schützen.

Empfehlung Warum ist das wichtig?
2 bis 4 globale Administratoren vorsehen Da nur ein anderer globaler Administrator das Kennwort eines globalen Administrators zurücksetzen kann, empfiehlt es sich, in Ihrer Organisation mindestens zwei globale Administratoren vorzusehen für den Fall, dass es zu einer Kontosperre kommt. Ein globaler Administrator hat jedoch fast unbegrenzten Zugriff auf die Einstellungen Ihrer Organisation und die meisten Daten. Daher wird empfohlen, nicht mehr als vier globale Administratoren einzurichten, da dies ein Sicherheitsrisiko darstellt.
Die Rolle mit den wenigsten Berechtigungen zuweisen Die Rolle mit den wenigsten Berechtigungen zuweisen bedeutet, Administratoren nur den Zugriff zu gewähren, den sie zum Erledigen einer Aufgabe benötigen. Wenn Sie beispielsweise möchten, dass jemand Mitarbeiterkennwörter zurücksetzen kann, sollten Sie ihm nicht die unbegrenzte Rolle des globalen Administrators zuweisen, sondern eine Rolle mit eingeschränkten Befugnissen wie jene des Kennwortadministrators oder des Helpdesk-Administrators. Dies trägt dazu bei, Ihre Daten zu schützen.
Mehrstufige Authentifizierung vorschreiben Es ist zwar sinnvoll, die mehrstufige Authentifizierung für alle Benutzer vorzuschreiben, für Administratoren sollte sie jedoch unbedingt zur Anmeldung vorgesehen sein. Bei der mehrstufigen Authentifizierung müssen Benutzer eine zweite Identifikationsmethode eingeben, um sicherzustellen, dass sie tatsächlich die Person sind, die sie behaupten zu sein. Administratoren können auf eine Vielzahl von Kunden- und Mitarbeiterdaten zugreifen. Wenn Sie die mehrstufige Authentifizierung vorschreiben, ist ein kompromittiertes Administratorkennwort ohne die zweite Art der Identifizierung nutzlos.

Wenn Sie die mehrstufige Authentifizierung aktivieren, müssen die Benutzer bei der nächsten Anmeldung eine alternative E-Mail-Adresse und Telefonnummer für die Kontowiederherstellung angeben.
Einrichten der mehrstufigen Authentifizierung

Wenn im Admin Center eine Nachricht angezeigt wird, die besagt, dass Sie nicht über die Berechtigungen zum Bearbeiten einer Einstellung oder Seite verfügen, liegt dies daran, dass Ihnen eine Rolle zugewiesen ist, die nicht über die entsprechende Berechtigung verfügt.

Häufig verwendete Microsoft 365 Admin Center-Rollen

Im Microsoft 365 Admin Center können Sie zu Rollenzuweisungen wechseln und dann eine beliebige Rolle auswählen, um deren Detailbereich zu öffnen. Wählen Sie die Registerkarte Berechtigungen aus, um eine detaillierte Liste der Berechtigungen anzuzeigen, über die Administratoren mit dieser Rolle verfügen. Wählen Sie die Registerkarte Zugewiesene oder Zugewiesene Administratoren aus, um Benutzer zu Rollen hinzuzufügen.

Es genügt wahrscheinlich, wenn Sie in Ihrer Organisation nur die nachstehend aufgeführten Rollen zuweisen. Standardmäßig werden zuerst die Rollen angezeigt, die von den meisten Organisationen verwendet werden. Wenn Sie eine Rolle nicht finden können, gehen Sie zum Ende der Liste, und wählen Sie Alle nach Kategorie anzeigen aus. (Ausführliche Informationen, einschließlich der mit einer Rolle verknüpften Cmdlets, finden Sie unter Integrierte Azure AD-Rollen.)

Administratorrolle Wem sollte diese Rolle zugewiesen werden?
Abrechnungsadministrator Weisen Sie die Rolle des Abrechnungsadministrators Benutzern zu, die Einkäufe tätigen, Abonnements und Dienstanforderungen verwalten und den Dienststatus überwachen.

Abrechnungsadministratoren können ebenfalls:
– Alle Aspekte der Abrechnung verwalten
– Supporttickets im Azure-Portal erstellen und verwalten
Exchange-Administrator Weisen Sie die Exchange-Administratorrolle Benutzern zu, die die E-Mail-Postfächer Ihrer Benutzer, Microsoft 365-Gruppen und Exchange Online einsehen und verwalten müssen.

Exchange-Administratoren sind außerdem zu Folgendem berechtigt:
- Wiederherstellen gelöschter Elemente im Postfach eines Benutzers
- Einrichten von "Senden als"- und "Senden im Auftrag von"-Stellvertretungen
Globaler Administrator Weisen Sie Benutzern, die globalen Zugriff auf die meisten Verwaltungsfunktionen und Daten in Microsoft Online-Diensten benötigen, die Rolle des globalen Administrators zu.

Wenn Sie zu vielen Benutzern globalen Zugriff gewähren, besteht ein Sicherheitsrisiko, deshalb empfiehlt es sich, nur zwei bis vier globale Administratoren vorzusehen.

Nur globale Administratoren sind zu Folgendem berechtigt:
- Zurücksetzen von Kennwörtern für alle Benutzer
- Hinzufügen und Verwalten von Domänen

Hinweis: Die Person, die die Registrierung für Microsoft-Onlinedienste vorgenommen hat, wird automatisch zu einem globalen Administrator.
Globaler Leser Weisen Sie die Rolle „Globaler Leser“ Benutzern zu, die Administratorfeatures und -einstellungen in Admin Centern anzeigen müssen, die der globale Administrator anzeigen kann. Der „Globaler Leser“-Administrator kann keine Einstellungen bearbeiten.
Gruppenadministrator Weisen Sie die Rolle des Gruppenadministrators Benutzern zu, die alle Gruppeneinstellungen in den Admin Centern verwalten müssen, einschließlich des Microsoft 365 Admin Centers und des Azure Active Directory-Portals.

Gruppenadministratoren sind zu Folgendem berechtigt:
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Microsoft 365-Gruppen
- Einrichten und Aktualisieren von Erstellung, Ablauf und Benennungsrichtlinien von bzw. für Gruppen
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Azure Active Directory-Sicherheitsgruppen
Helpdesk-Administrator Weisen Sie die Rolle des Helpdesk-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:
- Kennwörter zurücksetzen
- Die Abmeldung von Benutzern erzwingen
- Serviceanfragen verwalten
- Den Dienststatus überwachen

Hinweis: Der Helpdesk-Administrator kann nur Benutzern ohne Administratorrolle sowie Benutzern helfen, welchen folgende Rollen zugewiesen wurden: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.
Lizenzadministrator Weisen Sie die Rolle des Lizenzadministrators Benutzern zu, die Lizenzen für Benutzer zuweisen und entfernen und deren Verwendungsort bearbeiten müssen.

Lizenzadministratoren können ebenfalls:
– Lizenzzuweisungen für die gruppenbasierte Lizenzierung erneut verarbeiten
– Produktlizenzen für die gruppenbasierte Lizenzierung an Gruppen zuweisen
Office-Apps-Administrator Weisen Sie die Rolle des Office-Apps-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:
- Verwenden des Office-Cloudrichtliniendiensts zum Erstellen und Verwalten von cloudbasierten Richtlinien für Office
- Serviceanfragen erstellen und verwalten
- Verwalten der Inhalte im Dialogfenster "Neuigkeiten", das den Benutzern in ihren Office-Apps angezeigt wird
- Den Dienststatus überwachen
Kennwortadministrator Weisen Sie die Rolle des Kennwortadministrators Benutzern zu, die Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen müssen.
Nachrichtencenter-Leseberechtigter Weisen Sie die Rolle „Nachrichtencenter-Leseberechtigter“ Benutzern zu, die Folgendes ausführen müssen:
– Überwachen der Nachrichtencenter-Benachrichtigungen
– Wöchentliche E-Mail-Zusammenfassungen von Beiträgen und Aktualisierungen des Nachrichtencenters erhalten
– Freigeben von Beiträgen im Nachrichtencenter
– Schreibgeschützten Zugriff auf Azure AD-Dienste haben, wie z. B. Benutzer und Gruppen
Power Plattform-Administrator Weisen Sie die Power Platform-Administratorrolle Benutzern zu, die Folgendes ausführen müssen:
– Verwalten aller Administratorfunktionen für Power Apps, Power Automate und die Verhinderung von Datenverlust
– Serviceanfragen erstellen und verwalten
– Den Dienststatus überwachen
Berichtleseberechtigter Weisen Sie die Rolle „Berichtleseberechtigter“ Benutzern zu, die folgende Aktionen ausführen müssen:
– Nutzungsdaten und Aktivitätsberichte im Microsoft 365 Admin Center anzeigen
– Zugriff auf das Inhaltspakets zur Power BI-Einführung erhalten
– Zugriff auf Anmeldeberichte und Aktivitäten in Azure AD erhalten
– Vom Microsoft Graph-Berichterstellungs--API zurückgegebene Daten anzeigen
Dienstsupportadministrator Weisen Sie die Rolle des Dienstsupportadministrators als zusätzliche Rolle Administratoren oder Benutzern zu, die zusätzlich zu ihrer normalen Administratorrolle folgende Aufgaben erfüllen müssen:
- Serviceanfragen öffnen und verwalten
- Nachrichtencenter-Beiträge anzeigen und freigeben
- Den Dienststatus überwachen
SharePoint-Administrator Weisen Sie die SharePoint-Administratorrolle Benutzern zu, die auf das SharePoint Online Admin Center zugreifen und dieses verwalten müssen.

SharePoint-Administratoren sind zudem zu Folgendem berechtigt:
- Erstellen und Löschen von Websites
- Verwalten von Websitesammlungen und globalen SharePoint-Einstellungen
Teams-Administrator Weisen Sie die Teams-Administratorrolle Benutzern zu, die auf das Teams Admin Center zugreifen und dieses verwalten müssen.

Der Teams-Administrator kann auch folgende Aktionen ausführen:
- Verwalten von Besprechungen
- Verwalten von Konferenzbrücken
- Verwalten aller organisationsweiten Einstellungen einschließlich Partnerverbund, Microsoft Teams-Upgrades und Einstellungen des Microsoft Teams-Clients
Benutzeradministrator Weisen Sie die Rolle des Benutzeradministrators Benutzern zu, die folgende Aktionen für alle Benutzer ausführen müssen:
- Benutzer und Gruppen hinzufügen
- Lizenzen zuweisen
- Die meisten Benutzereigenschaften verwalten
- Benutzeransichten erstellen und verwalten
- Kennwortablaufrichtlinien aktualisieren
- Serviceanfragen verwalten
- Den Dienststatus überwachen

Der Benutzeradministrator kann außerdem die unten aufgeführten Aktionen für Benutzer ohne Administratorrolle sowie für Benutzer ausführen, denen die folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.
- Benutzernamen verwalten
- Benutzerkonten löschen und wiederherstellen
- Kennwörter zurücksetzen
- Die Abmeldung von Benutzern erzwingen
- (FIDO)-Geräteschlüssel aktualisieren

Delegierte Administration für Microsoft-Partner

Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum den Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Dies kann beispielsweise sinnvoll sein, wenn diese Personen Ihre Online-Organisation für Sie einrichten und verwalten.

Ein Partner kann die folgenden Rollen zuweisen:

  • Administrator-Agent: Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.

  • Helpdesk-Agent: Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.

Bevor der Partner den Benutzern diese Rollen zuweisen kann, müssen Sie den Partner als delegierten Administrator zu Ihrem Konto hinzufügen. Dieser Vorgang wird von einem autorisierten Partner eingeleitet. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Entsprechende Anweisungen finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.

Zuweisen von Administratorrollen (Artikel)
Azure AD-Rollen im Microsoft 365 Admin Center (Artikel)
Aktivitätsberichte im Microsoft 365 Admin Center (Artikel)
Exchange Online-Administratorrolle (Artikel)