Zuweisen von Administratorrollen in Azure Active Directory

Mithilfe von Azure Active Directory (Azure AD) können Sie verschiedene Administratoren bestimmen, um unterschiedliche Funktionen zu erfüllen. Diese Administratoren haben Zugriff auf verschiedene Funktionen im Azure-Portal oder im klassischen Azure-Portal und können abhängig von ihrer Rolle unter anderem Benutzer erstellen oder bearbeiten, anderen administrative Rollen zuweisen, Benutzerkennwörter zurücksetzen, Benutzerlizenzen verwalten und Domänen verwalten. Ein Benutzer mit einer Administratorrolle besitzt die gleichen Berechtigungen für alle Clouddienste, die Ihre Organisation abonniert hat, unabhängig davon, ob Sie die Rolle im Office 365-Portal, im klassischen Azure-Portal oder mithilfe des Azure AD-Moduls für Windows PowerShell zuweisen.

Die folgenden Administratorrollen sind verfügbar:

  • Rechnungsadministrator: Erledigt Käufe, verwaltet Abonnements, verwaltet Supporttickets und überwacht die Dienstintegrität.
  • Globaler Administrator/Unternehmensadministrator: Hat Zugriff auf alle administrativen Funktionen. Die Person, die die Anmeldung für das Azure-Konto vornimmt, wird ein globaler Administrator. Nur globale Administratoren können weitere Administratorrollen zuweisen. In Ihrem Unternehmen können mehrere globale Administratoren vorhanden sein.

    Hinweis

    In der Microsoft Graph-API, der Azure AD Graph-API und in Azure AD PowerShell wird diese Rolle als „Unternehmensadministrator“ identifiziert. Im Azure-Portalist dies der „globale Administrator“.

  • Complianceadministrator:
  • CRM-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Microsoft CRM Online, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.
  • Genehmigende Person für den LockBox-Kundenzugriff: Wenn der LockBox-Dienst aktiviert ist, können Benutzer mit dieser Rolle Anforderungen von Microsoft-Technikern zum Zugriff auf Unternehmensinformationen genehmigen. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.
  • Geräteadministratoren: Benutzer mit dieser Rolle werden zu Administratoren für alle Windows 10-Geräte, die Azure Active Directory beitreten.
  • Verzeichnis lesen: Dies ist eine Legacyrolle, die Anwendungen ohne Unterstützung für das Consent Frameworkzugewiesen wird. Diese Rolle sollte keinem Benutzer zugewiesen werden.
  • Konten für die Verzeichnissynchronisierung: Verwenden Sie diese Rolle nicht. Diese Rolle wird automatisch dem Azure AD Connect-Dienst zugewiesen und ist weder für eine andere Verwendung vorgesehen, noch wird eine andere Verwendung unterstützt.
  • Verzeichnis schreiben: Dies ist eine Legacyrolle, die Anwendungen ohne Unterstützung für das Consent Frameworkzugewiesen wird. Diese Rolle sollte keinem Benutzer zugewiesen werden.
  • Exchange-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.
  • Intune-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Microsoft Intune Online, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.
  • Skype for Business-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Microsoft Skype for Business, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365. Diese Rolle wurde bisher als Lync-Dienstadministrator bezeichnet.
  • Gäste Einladender: Benutzer in dieser Rolle können Gasteinladungen verwalten. Es sind keine anderen Berechtigungen eingeschlossen.
  • Kennwortadministrator/Helpdeskadministrator: setzt Kennwörter zurück, verwaltet Dienstanforderungen und überwacht die Integrität des Diensts. Kennwortadministratoren können Kennwörter nur für Benutzer und andere Kennwortadministratoren zurücksetzen.

    Hinweis

    In der Microsoft Graph-API, der Azure AD Graph-API und Azure AD PowerShell wird diese Rolle als „Helpdeskadministrator“ identifiziert.

  • SharePoint-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Microsoft SharePoint Online, wenn der Dienst vorhanden ist. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Office 365.
  • Dienstadministrator: verwaltet Dienstanforderungen und überwacht die Integrität des Dienstes.

    Hinweis

    Um einem Benutzer die Dienstadministratorrolle zuzuweisen, muss der globale Administrator zunächst dem Benutzer Administratorberechtigungen im Dienst (z. B. Exchange Online) zuweisen, und anschließend die Dienstadministratorrolle im klassischen Azure-Portal.

  • Benutzerkontenadministrator: setzt Kennwörter zurück, überwacht die Dienstintegrität und verwaltet Benutzerkonten, Benutzergruppen und Dienstanforderungen. Für die Berechtigungen eines Benutzerverwaltungsadministrators gelten einige Einschränkungen. Sie können z. B. keinen globalen Administrator löschen oder andere Administratoren erstellen. Sie können außerdem keine Kennwörter für Abrechnungs-, globale und Dienstadministratoren zurücksetzen.
  • Sicherheit lesen: schreibgeschützter Zugriff auf eine Reihe von Sicherheitsfeatures von Identity Protection Center, Privileged Identity Management, Monitor Office 365 Service Health und Office 365 Security & Compliance Center.
  • Sicherheitsadministrator: alle Leseberechtigungen der Rolle Sicherheit lesen und außerdem eine Reihe von zusätzlichen administrativen Berechtigungen für die gleichen Dienste: Identity Protection Center, Privileged Identity Management, Monitor Office 365 Service Health und Office 365 Security & Compliance Center.

Administratorberechtigungen

Rechnungsadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Zurücksetzen von Benutzerkennwörtern

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Berichten

Globaler Administrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Zurücksetzen von Benutzerkennwörtern

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Aktivieren und Deaktivieren der Multi-Factor Authentication

Anzeigen von Berichten

N/V

Kennwortadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Berichten

Dienstadministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen und Verwalten von Benutzerlizenzen

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Anzeigen von Berichten

Benutzeradministrator

Möglich Nicht möglich

Anzeigen von Unternehmens- und Benutzerinformationen

Verwalten von Office-Supporttickets

Zurücksetzen von Benutzerkennwörtern (mit Einschränkungen). Er kann keine Kennwörter für Abrechnungs-, globale und Dienstadministratoren zurücksetzen.

Erstellen und Verwalten von Benutzeransichten

Erstellen, Bearbeiten und Löschen von Benutzern und Gruppen, Verwalten von Benutzerlizenzen (mit Einschränkungen). Er oder Sie kann keinen globalen Administrator löschen oder andere Administratoren erstellen.

Durchführen von Abrechnungs- und Kaufvorgängen für Office-Produkte

Verwalten von Domänen

Verwalten von Unternehmensinformationen

Delegieren von Administratorrollen an andere Benutzer

Verwenden der Verzeichnissynchronisierung

Aktivieren und Deaktivieren der Multi-Factor Authentication

Anzeigen von Berichten

Sicherheit lesen

Geben Sie in Möglich
Identity Protection Center Lesen von allen Sicherheitsberichten und Einstellungsinformationen für die Sicherheitsfunktionen
  • Antispam
  • Verschlüsselung
  • Verhindern von Datenverlusten
  • Antischadsoftware
  • Erweiterter Schutz vor Bedrohungen
  • Antiphishing
  • Nachrichtenflussregeln
Privileged Identity Management

Verfügt über schreibgeschützten Zugriff auf alle eingeblendeten Informationen in Azure AD PIM: Richtlinien und Berichte für Azure AD-Rollenzuweisungen, Sicherheitsüberprüfungen und in Zukunft Lesezugriff auf Richtliniendaten und Berichte für Szenarios zusätzlich zur Azure AD-Rollenzuweisung.

Kann sich nicht für Azure AD PIM registrieren oder Änderungen durchführen. Im PIM-Portal oder über PowerShell können Personen mit dieser Rolle zusätzliche Rollen (z.B. globaler Administrator oder Administrator für privilegierte Rollen) aktivieren, wenn der Benutzer für sie geeignet ist.

Überwachen der Office 365-Dienstintegrität

Office 365 Security & Compliance Center

  • Lesen und Verwalten von Warnungen
  • Lesen von Sicherheitsrichtlinien
  • Lesen von Bedrohungsanalysen, Cloud App Discovery und Quarantäne in Suchen und Untersuchungen
  • Lesen aller Berichte

Sicherheitsadministrator

Geben Sie in Möglich
Identity Protection Center
  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • Darüber hinaus die Möglichkeit, alle IPC-Vorgänge außer des Zurücksetzens von Kennwörtern auszuführen.
Privileged Identity Management
  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • nicht verwalten.

Überwachen der Office 365-Dienstintegrität

Office 365 Security & Compliance Center

  • Alle Berechtigungen der Rolle „Sicherheit lesen“
  • Kann alle Einstellungen im Feature „Advanced Threat Protection“ (Schutz vor Malware und Viren, schadhafte URL-Konfiguration, URL-Ablaufverfolgung usw.) konfigurieren.

Details zur globalen Administratorrolle

Der globale Administrator hat Zugriff auf alle administrativen Funktionen. Standardmäßig wird der Person, die sich für ein Azure-Abonnement registriert, die globale Administratorrolle für das Verzeichnis zugewiesen. Nur globale Administratoren können weitere Administratorrollen zuweisen.

Zuweisen oder Entfernen von Administratorrollen

  1. Klicken Sie im klassischen Azure-Portalauf Active Directory, und klicken Sie dann auf den Namen des Verzeichnisses Ihrer Organisation.
  2. Auf der Seite Benutzer klicken Sie auf den Anzeigenamen des Benutzers, den Sie bearbeiten möchten.
  3. Wählen Sie in der Liste Organisationsrolle die Administratorrolle aus, die diesem Benutzer zugewiesen werden soll, oder wählen Sie Benutzer aus, wenn Sie eine vorhandene Administratorrolle entfernen möchten.
  4. Im Feld Alternative E-Mail-Adresse geben Sie eine E-Mail-Adresse ein. Diese E-Mail-Adresse wird für wichtige Benachrichtigungen, einschließlich des automatischen Zurücksetzens des Kennworts verwendet, so dass der Benutzer Zugriff auf das E-Mail-Konto benötigt, und zwar unabhängig davon, ob er auf Azure zugreifen kann oder nicht.
  5. Wählen Sie Zulassen oder Blockieren aus, um anzugeben, ob der Benutzer sich anmelden kann und Zugriff auf die Dienste erhält.
  6. Geben Sie einen Speicherort aus der Dropdown-Liste Nutzungsspeicherort an.
  7. Wenn Sie fertig sind, klicken Sie auf Speichern.

Nächste Schritte