Zuweisen von Administratorrollen in Azure Active Directory

Mithilfe von Azure Active Directory (Azure AD) können Sie verschiedene Administratoren bestimmen, um unterschiedliche Funktionen zu erfüllen. Diese Administratoren haben Zugriff auf verschiedene Funktionen im Azure-Portal oder im klassischen Azure-Portal und können abhängig von ihrer Rolle unter anderem Benutzer erstellen oder bearbeiten, anderen administrative Rollen zuweisen, Benutzerkennwörter zurücksetzen, Benutzerlizenzen verwalten und Domänen verwalten. Ein Benutzer mit einer Administratorrolle besitzt dieselben Berechtigungen für alle Clouddienste, die Ihre Organisation abonniert hat, unabhängig davon, ob Sie die Rolle im Office 365-Portal, im klassischen Azure-Portal oder mithilfe des Azure AD-Moduls für Windows PowerShell zuweisen.

Die folgenden Administratorrollen sind verfügbar:

  • Rechnungsadministrator: Tätigt Käufe, verwaltet Abonnements und Supporttickets und überwacht die Dienstintegrität.

  • Complianceadministrator: Benutzer mit dieser Rolle verfügen über Verwaltungsberechtigungen innerhalb von Office 365 Security & Compliance Center und Exchange Admin Center. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • Administrator für den bedingten Zugriff: Benutzer mit dieser Rolle haben die Möglichkeit, Azure Active Directory-Einstellungen für den bedingten Zugriff zu verwalten.

  • CRM-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft CRM Online, wenn der Dienst vorhanden ist, sowie die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • Geräteadministratoren: Benutzer mit dieser Rolle werden zu lokalen Geräteadministratoren für alle Windows 10-Geräte, die mit Azure Active Directory verknüpft werden. Sie haben nicht die Möglichkeit zum Verwalten von Geräteobjekten in Azure Active Directory.

  • Verzeichnis lesen: Dies ist eine Legacyrolle, die Anwendungen ohne Unterstützung für das Consent Framework zugewiesen wird. Diese Rolle sollte keinem Benutzer zugewiesen werden.

  • Konten für die Verzeichnissynchronisierung: Verwenden Sie diese Rolle nicht. Diese Rolle wird automatisch dem Azure AD Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.

  • Verzeichnis schreiben: Dies ist eine Legacyrolle, die Anwendungen ohne Unterstützung für das Consent Framework zugewiesen wird. Diese Rolle sollte keinem Benutzer zugewiesen werden.

  • Exchange-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • Globaler Administrator/Unternehmensadministrator: Benutzer mit dieser Rolle haben Zugriff auf alle Verwaltungsfeatures in Azure Active Directory sowie Dienste, die einen Verbund mit Azure Active Directory bilden, z.B. Exchange Online, SharePoint Online und Skype for Business Online. Die Person, die die Anmeldung für den Azure Active Directory-Mandanten vornimmt, wird ein globaler Administrator. Nur globale Administratoren können weitere Administratorrollen zuweisen. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein. Globale Administratoren können das Kennwort für alle Benutzer und alle anderen Administratoren zurücksetzen.

    Hinweis

    In der Microsoft Graph-API, der Azure AD Graph-API und in Azure AD PowerShell wird diese Rolle als „Unternehmensadministrator“ identifiziert. Im Azure-Portalist dies der „globale Administrator“.

  • Gasteinladender: Benutzer mit dieser Rolle können Einladungen für Azure Active Directory B2B-Gastbenutzer verwalten, wenn die Benutzereinstellung „Mitglieder können einladen“ auf „Nein“ gesetzt ist. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Informationen zur Vorschau der Azure AD B2B-Zusammenarbeit. Es sind keine anderen Berechtigungen eingeschlossen.

  • Intune-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Intune Online, wenn der Dienst vorhanden ist. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Benutzer und Geräte zum Zuordnen von Richtlinien zu verwalten sowie Gruppen zu erstellen und zu verwalten.

  • Postfachadministrator: Diese Rolle wird nur im Rahmen der Exchange Online-E-Mail-Unterstützung für RIM Blackberry-Geräte verwendet. Verwenden Sie diese Rolle nicht, wenn Ihre Organisation keine Exchange Online-E-Mails auf RIM Blackberry-Geräten verwendet.

  • Partner Tier 1 Support (Partnerunterstützung auf Ebene 1): Nicht verwenden. Diese Rolle wurde als veraltet markiert und wird aus Azure AD entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.

  • Partner Tier 2 Support (Partnerunterstützung auf Ebene 2): Nicht verwenden. Diese Rolle wurde als veraltet markiert und wird aus Azure AD entfernt. Diese Rolle ist für einige wenige Wiederverkaufspartner von Microsoft und nicht zur allgemeinen Verwendung vorgesehen.

  • Kennwortadministrator/Helpdeskadministrator: Benutzer mit dieser Rolle können Kennwörter zurücksetzen, Dienstanforderungen verwalten und die Integrität des Diensts überwachen. Kennwortadministratoren können Kennwörter nur für Benutzer und andere Kennwortadministratoren zurücksetzen.

    Hinweis

    In der Microsoft Graph-API, der Azure AD Graph-API und Azure AD PowerShell wird diese Rolle als „Helpdeskadministrator“ identifiziert. Im Azure-Portal lautet diese „Kennwortadministrator“.

  • Power BI-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Power BI, wenn der Dienst vorhanden ist, sowie die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure Active Directory und in Azure AD Privileged Identity Management vornehmen. Überdies ermöglicht diese Rolle die vollumfängliche Verwaltung von Privileged Identity Management.

  • Sicherheitsadministrator: Benutzer mit dieser Rolle verfügen über alle Leseberechtigungen der Rolle „Sicherheit lesen“ sowie die Möglichkeit, die Konfiguration für sicherheitsrelevante Dienste zu verwalten (z.B. Azure Active Directory Identity Protection, Privileged Identity Management und Office 365 Security & Compliance Center). Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Berechtigungen im Office 365 Security & Compliance Center.

  • Sicherheit lesen: Benutzer mit dieser Rolle verfügen über einen globalen schreibgeschützten Zugriff, einschließlich aller Informationen in Azure Active Directory, Identity Protection, Privileged Identity Management, sowie die Möglichkeit, Azure Active Directory-Anmeldeberichte und Überwachungsprotokolle zu lesen. Die Rolle gewährt außerdem Leseberechtigung im Office 365 Security & Compliance Center. Weitere Informationen zu Office 365-Berechtigungen finden Sie unter Berechtigungen im Office 365 Security & Compliance Center.

  • Dienstunterstützungsadministrator: Benutzer mit dieser Rolle können bei Microsoft Supportanfragen für Azure- und Office 365-Dienste öffnen sowie das Service-Dashboard und das Nachrichtencenter im Azure-Portal und im Office 365-Verwaltungsportal einsehen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • SharePoint-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft SharePoint Online, wenn der Dienst vorhanden ist, sowie die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

  • Skype for Business-/Lync-Dienstadministrator: Benutzer mit dieser Rolle verfügen über globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist, sowie die Berechtigung zur Verwaltung von Skype-spezifischen Benutzerattributen in Azure Active Directory. Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.

    Hinweis

    In der Microsoft Graph-API, der Azure AD Graph-API und in Azure AD PowerShell wird diese Rolle als „Lync-Dienstadministrator“ identifiziert. Im Azure-Portal lautet diese „Skype for Business-Dienstadministrator“.

  • Benutzerkontoadministrator: Benutzer mit dieser Rolle können sämtliche Benutzer und Gruppen erstellen und verwalten. Darüber hinaus beinhaltet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen. Es gelten einige Einschränkungen. Beispielsweise lässt diese Rolle nicht das Löschen eines globalen Administrators zu. Auch die Änderung von Kennwörtern für globale oder andere privilegierte Administratoren ist nicht möglich, wohingegen dies für andere Benutzer, die keine Administratoren sind, möglich ist.

Administratorberechtigungen

Abrechnungsadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Zurücksetzen von Benutzerkennwörtern

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Überwachungsprotokollen

Administrator für den bedingten Zugriff

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Einstellungen für den bedingten Zugriff

Zurücksetzen von Benutzerkennwörtern

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Überwachungsprotokollen

Globaler Administrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Zurücksetzen von Benutzerkennwörtern

Zurücksetzen von Kennwörtern anderer Administratoren

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Aktivieren und Deaktivieren der Multi-Factor Authentication

Anzeigen von Überwachungsprotokollen

N/V

Kennwortadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern

Zurücksetzen von Kennwörtern anderer Administratoren

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Berichten

Dienstadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Überwachungsprotokollen

Benutzeradministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern (mit Einschränkungen).

Zurücksetzen von Kennwörtern anderer Administratoren

Zurücksetzen von Kennwörtern anderer Benutzer

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen, Verwalten von Benutzerlizenzen (mit Einschränkungen). Er oder Sie kann keinen globalen Administrator löschen oder andere Administratoren erstellen.

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Aktivieren und Deaktivieren der Multi-Factor Authentication

Anzeigen von Überwachungsprotokollen

Sicherheit lesen

Geben Sie in Möglich
Identity Protection Center Lesen von allen Sicherheitsberichten und Einstellungsinformationen für die Sicherheitsfunktionen
  • Antispam
  • Verschlüsselung
  • Verhindern von Datenverlusten
  • Antischadsoftware
  • Erweiterter Schutz vor Bedrohungen
  • Antiphishing
  • Nachrichtenflussregeln
Privileged Identity Management

Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen in Azure AD PIM: Richtlinien und Berichte für Azure AD-Rollenzuweisungen, Sicherheitsüberprüfungen und in Zukunft Lesezugriff auf Richtliniendaten und Berichte für Szenarios zusätzlich zur Azure AD-Rollenzuweisung.

Kann sich nicht für Azure AD PIM registrieren oder Änderungen durchführen. Im PIM-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z.B. globaler Administrator oder Administrator für privilegierte Rollen) aktivieren, wenn der Benutzer für sie geeignet ist.

Überwachen der Office 365-Dienstintegrität

Office 365 Security & Compliance Center

  • Lesen und Verwalten von Warnungen
  • Lesen von Sicherheitsrichtlinien
  • Lesen von Bedrohungsanalysen, Cloud App Discovery und Quarantäne in Suchen und Untersuchungen
  • Lesen aller Berichte

Sicherheitsadministrator

Geben Sie in Möglich
Identity Protection Center
  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • Darüber hinaus die Möglichkeit, alle IPC-Vorgänge außer des Zurücksetzens von Kennwörtern auszuführen.
Privileged Identity Management
  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • nicht verwalten.

Überwachen der Office 365-Dienstintegrität

Office 365 Security & Compliance Center

  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • Kann alle Einstellungen im Feature „Advanced Threat Protection“ (Schutz vor Malware und Viren, schadhafte URL-Konfiguration, URL-Ablaufverfolgung usw.) konfigurieren.

Details zur globalen Administratorrolle

Der globale Administrator hat Zugriff auf alle administrativen Funktionen. Standardmäßig wird der Person, die sich für ein Azure-Abonnement registriert, die globale Administratorrolle für das Verzeichnis zugewiesen. Nur globale Administratoren können weitere Administratorrollen zuweisen.

Hinzufügen eines Kollegen als globalen Administrator

  1. Melden Sie sich beim Azure Active Directory Admin Center über ein Konto an, das als globaler Administrator für das Mandantenverzeichnis konfiguriert ist.

    Öffnen des Azure AD Admin Center

  2. Wählen Sie Benutzer und Gruppen > Alle Benutzer aus.

  3. Suchen Sie den Benutzer, der als globaler Administrator festgelegt werden soll, und öffnen Sie das Blatt für diesen Benutzer.

  4. Wählen Sie auf dem Blatt „Benutzer“ die Option Verzeichnisrolle aus.

  5. Wählen Sie auf dem Blatt „Verzeichnisrolle“ die Rolle Globaler Administrator aus, und speichern Sie sie.

Zuweisen oder Entfernen von Administratorrollen

Um zu erfahren, wie in Azure Active Directory einem Benutzer Administratorrollen zugewiesen werden, lesen Sie Zuweisen von Administratorrollen zu einem Benutzer in Azure Active Directory.

Veraltete Rollen

Die folgenden Rollen sollten nicht verwendet werden. Sie wurden als veraltet markiert und werden aus Azure AD entfernt.

  • Ad-hoc-Lizenzadministrator
  • Benutzererstellung mit E-Mail-Überprüfung
  • Geräteeinbindung
  • Geräte-Manager
  • Gerätebenutzer
  • Geräteeinbindung am Arbeitsplatz

Nächste Schritte