Welche Standardbenutzerberechtigungen gibt es in Azure Active Directory?What are the default user permissions in Azure Active Directory?

In Azure Active Directory (Azure AD) wird allen Benutzern ein Satz mit Standardberechtigungen gewährt.In Azure Active Directory (Azure AD), all users are granted a set of default permissions. Der Zugriffsumfang eines Benutzers basiert auf dem Benutzertyp, den Rollenzuweisungen und dem Besitz einzelner Objekte.A user’s access consists of the type of user, their role assignments, and their ownership of individual objects. In diesem Artikel werden diese Standardberechtigungen beschrieben, und es werden die Standardberechtigungen für Mitglieder und Gastbenutzer miteinander verglichen.This article describes those default permissions and contains a comparison of the member and guest user defaults. Die Standardberechtigungen für Benutzer können nur in den Benutzereinstellungen in Azure AD geändert werden.The default user permissions can be changed only in user settings in Azure AD.

Mitglieder und GastbenutzerMember and guest users

Der gewährte Satz an Standardberechtigungen richtet sich danach, ob der Benutzer ein natives Mitglied des Mandanten ist (Mitgliedsbenutzer), oder ob der Benutzer als Gast im Rahmen der B2B-Zusammenarbeit (Gastbenutzer) aus einem anderen Verzeichnis übernommen wurde.The set of default permissions received depends on whether the user is a native member of the tenant (member user) or if the user is brought over from another directory as a B2B collaboration guest (guest user). Weitere Informationen zum Hinzufügen von Gastbenutzern finden Sie unter Was ist die Azure AD B2B-Zusammenarbeit?.See What is Azure AD B2B collaboration? for more information about adding guest users.

  • Mitgliedsbenutzer können Anwendungen registrieren, ihr eigenes Profilfoto und ihre Mobiltelefonnummer verwalten, das eigene Kennwort verwalten und B2B-Gäste einladen.Member users can register applications, manage their own profile photo and mobile phone number, change their own password, and invite B2B guests. Zusätzlich können die Benutzer (mit einigen Ausnahmen) alle Verzeichnisinformationen lesen.In addition, users can read all directory information (with a few exceptions).
  • Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen.Guest users have restricted directory permissions. Sie können ihr eigenes Profil verwalten, ihr eigenes Kennwort ändern und einige Informationen über andere Benutzer, Gruppen und Apps abrufen, jedoch nicht alle Verzeichnisinformationen lesen.They can manage their own profile, change their own password and retrieve some information about other users, groups and apps, however, they cannot read all directory information. Gastbenutzer können beispielsweise nicht alle Benutzer, Gruppen und andere Verzeichnisobjekte auflisten.For example, guest users cannot enumerate the list of all users, groups and other directory objects. Gäste können zu Administratorrollen hinzugefügt werden, wodurch ihnen alle in der Rolle enthaltenen Lese- und Schreibberechtigungen gewährt werden.Guests can be added to administrator roles, which grant them full read and write permissions contained in the role. Gäste können auch andere Gäste einladen.Guests can also invite other guests.

Vergleich der Standardberechtigungen für Mitglieds- und GastbenutzerCompare member and guest default permissions

BereichArea Berechtigungen für MitgliedsbenutzerMember user permissions Standardberechtigungen für GastbenutzerDefault guest user permissions Eingeschränkte Berechtigungen für Gastbenutzer (Vorschau)Restricted guest user permissions (Preview)
Benutzer und KontakteUsers and contacts
  • Alle Benutzer und Kontakte auflistenEnumerate list of all users and contacts
  • Alle öffentlichen Eigenschaften von Benutzern und Kontakten lesenRead all public properties of users and contacts
  • Gäste einladenInvite guests
  • Eigenes Kennwort ändernChange own password
  • Eigene Mobiltelefonnummer verwaltenManage own mobile phone number
  • Eigenes Foto verwaltenManage own photo
  • Eigene Aktualisierungstoken für ungültig erklärenInvalidate own refresh tokens
  • Eigene Eigenschaften lesenRead own properties
  • Eigenschaften für Anzeigename, E-Mail-Adresse, Anmeldename, Foto, Benutzerprinzipalname und Benutzertyp anderer Benutzer und Kontakte lesenRead display name, email, sign in name, photo, user principal name, and user type properties of other users and contacts
  • Eigenes Kennwort ändernChange own password
  • Suchen nach einem anderen Benutzer nach ObjectId (falls zulässig)Search for another user by ObjectId (if allowed)
  • Manager- und direkte Berichtsinformationen anderer Benutzer lesenRead manager and direct report information of other users
  • Eigene Eigenschaften lesenRead own properties
  • Eigenes Kennwort ändernChange own password
GruppenGroups
  • Sicherheitsgruppen erstellenCreate security groups
  • Erstellen von Microsoft 365-GruppenCreate Microsoft 365 groups
  • Alle Gruppen auflistenEnumerate list of all groups
  • Alle Eigenschaften von Gruppen lesenRead all properties of groups
  • Nicht ausgeblendete Gruppenmitgliedschaften lesenRead non-hidden group memberships
  • Ausgeblendete Microsoft 365-Gruppenmitgliedschaften für eingebundene Gruppe lesenRead hidden Microsoft 365 group memberships for joined group
  • Eigenschaften, Besitz und Mitgliedschaft von Gruppen im Besitz des Benutzers verwaltenManage properties, ownership, and membership of groups the user owns
  • Gäste zu Gruppen im Besitz des Benutzers hinzufügenAdd guests to owned groups
  • Einstellungen für dynamische Mitgliedschaften verwaltenManage dynamic membership settings
  • Gruppen im Besitz des Benutzers löschenDelete owned groups
  • Wiederherstellen von sich im Besitz befindenden Microsoft 365-GruppenRestore owned Microsoft 365 groups
  • Eigenschaften nicht ausgeblendeter Gruppen lesen, einschließlich Mitgliedschaft und Besitz (auch nicht eingebundene Gruppen)Read properties of non-hidden groups, including membership and ownership (even non-joined groups)
  • Ausgeblendete Microsoft 365-Gruppenmitgliedschaften für eingebundene Gruppen lesenRead hidden Microsoft 365 group memberships for joined groups
  • Gruppen nach Anzeigename oder objectId (falls zulässig) suchenSearch for groups by Display Name or ObjectId (if allowed)
  • Objekt-ID für eingebundene Gruppen lesenRead object id for joined groups
  • Mitgliedschaft und Besitz eingebundener Gruppen in einigen Microsoft 365-Apps (sofern zulässig) lesenRead membership and ownership of joined groups in some Microsoft 365 apps (if allowed)
AnwendungenApplications
  • Neue Anwendung registrieren (erstellen)Register (create) new application
  • Alle Anwendungen auflistenEnumerate list of all applications
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesenRead properties of registered and enterprise applications
  • Anwendungseigenschaften, Zuweisungen und Anmeldeinformationen für Anwendungen im Besitz des Benutzers verwaltenManage application properties, assignments, and credentials for owned applications
  • Anwendungskennwort für Benutzer erstellen oder löschenCreate or delete application password for user
  • Anwendungen im Besitz des Benutzers löschenDelete owned applications
  • Anwendungen im Besitz des Benutzers wiederherstellenRestore owned applications
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesenRead properties of registered and enterprise applications
  • Eigenschaften für registrierte Anwendungen und Unternehmensanwendungen lesenRead properties of registered and enterprise applications
GeräteDevices
  • Alle Geräte auflistenEnumerate list of all devices
  • Alle Eigenschaften von Geräten lesenRead all properties of devices
  • Alle Eigenschaften von Geräten im Besitz des Benutzers verwaltenManage all properties of owned devices
Keine BerechtigungenNo permissions Keine BerechtigungenNo permissions
VerzeichnisDirectory
  • Alle Unternehmensinformationen lesenRead all company information
  • Alle Domänen lesenRead all domains
  • Alle Partnerverträge lesenRead all partner contracts
  • Anzeigename des Unternehmens lesenRead company display name
  • Alle Domänen lesenRead all domains
  • Anzeigename des Unternehmens lesenRead company display name
  • Alle Domänen lesenRead all domains
Rollen und BereicheRoles and Scopes
  • Alle administrativen Rollen und Mitgliedschaften lesenRead all administrative roles and memberships
  • Alle Eigenschaften und Mitgliedschaften von administrativen Einheiten lesenRead all properties and membership of administrative units
Keine BerechtigungenNo permissions Keine BerechtigungenNo permissions
AbonnementsSubscriptions
  • Alle Abonnements lesenRead all subscriptions
  • Mitglied für Diensttarif aktivierenEnable Service Plan Member
Keine BerechtigungenNo permissions Keine BerechtigungenNo permissions
RichtlinienPolicies
  • Alle Eigenschaften von Richtlinien lesenRead all properties of policies
  • Alle Eigenschaften von Richtlinien im Besitz des Benutzers verwaltenManage all properties of owned policy
Keine BerechtigungenNo permissions Keine BerechtigungenNo permissions

Standardberechtigungen von Mitgliedsbenutzern einschränkenRestrict member users default permissions

Die Standardberechtigungen für Mitgliedsbenutzer können auf folgende Weise eingeschränkt werden:Default permissions for member users can be restricted in the following ways:

BerechtigungPermission Erläuterung der EinstellungSetting explanation
Benutzer können Anwendungen registrierenUsers can register application Durch das Festlegen dieser Einstellung auf „Nein“ werden Benutzer daran gehindert, Anwendungsregistrierungen zu erstellen.Setting this option to No prevents users from creating application registrations. Die Fähigkeit kann anschließend bestimmten Personen wieder gewährt werden, indem diese der Rolle „Anwendungsentwickler“ hinzugefügt werden.The ability can then be granted back to specific individuals by adding them to the Application Developer role.
Benutzern die Verbindungsherstellung mit LinkedIn über ihr Geschäfts-, Schul- oder Unikonto erlaubenAllow users to connect work or school account with LinkedIn Durch das Festlegen dieser Einstellung auf „Nein“ werden Benutzer daran gehindert, ihr Geschäfts-, Schul- oder Unikonto mit ihrem LinkedIn-Konto zu verbinden.Setting this option to No prevents users from connecting their work or school account with their LinkedIn account. Weitere Informationen finden Sie unter Datenfreigabe und Benutzereinwilligung bei LinkedIn-Kontoverbindungen.For more information, see LinkedIn account connections data sharing and consent.
Fähigkeit zum Erstellen von SicherheitsgruppenAbility to create security groups Durch das Festlegen dieser Einstellung auf „Nein“ werden Benutzer daran gehindert, Sicherheitsgruppen zu erstellen.Setting this option to No prevents users from creating security groups. Globale Administratoren und Benutzeradministratoren können weiterhin Sicherheitsgruppen erstellen.Global administrators and User administrators can still create security groups. Informationen zur Vorgehensweise finden Sie unter Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen.See Azure Active Directory cmdlets for configuring group settings to learn how.
Möglichkeit zur Erstellung von Microsoft 365-GruppenAbility to create Microsoft 365 groups Durch das Festlegen dieser Einstellung auf „Nein“ werden Benutzer daran gehindert, Microsoft 365-Gruppen zu erstellen.Setting this option to No prevents users from creating Microsoft 365 groups. Durch das Festlegen dieser Option auf „Einige“ wird einem ausgewählten Benutzersatz das Erstellen von Microsoft 365-Gruppen ermöglicht.Setting this option to Some allows a select set of users to create Microsoft 365 groups. Globale Administratoren und Benutzeradministratoren können weiterhin Microsoft 365-Gruppen erstellen.Global administrators and User administrators will still be able to create Microsoft 365 groups. Informationen zur Vorgehensweise finden Sie unter Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen.See Azure Active Directory cmdlets for configuring group settings to learn how.
Zugriff auf Azure AD-Verwaltungsportal einschränkenRestrict access to Azure AD administration portal Wenn Sie diese Option auf „Nein“ festlegen, können Nichtadministratoren das Azure AD-Verwaltungsportal zum Lesen und Verwalten von Ressourcen verwenden.Setting this option to No lets non-administrators use the Azure AD administration portal to read and manage Azure AD resources. Mit der Einstellung „Ja“ wird der Zugriff auf Azure AD-Daten im Verwaltungsportal für Nichtadministratoren eingeschränkt.Yes restricts all non-administrators from accessing any Azure AD data in the administration portal.

Hinweis: Durch diese Einstellung wird der Zugriff auf Azure AD-Daten mithilfe von PowerShell oder anderen Clients wie Visual Studio nicht eingeschränkt. Wenn diese Einstellung auf „Ja“ festgelegt ist, kann einem bestimmten Benutzer, der kein Administrator ist, die Fähigkeit erteilt werden, das Azure AD-Verwaltungsportal zu verwenden, indem ihm eine beliebige Administratorrolle zugewiesen wird, z. B. die Rolle „Verzeichnisleseberechtigte“.Note: this setting does not restrict access to Azure AD data using PowerShell or other clients such as Visual Studio.When set to Yes, to grant a specific non-admin user the ability to use the Azure AD administration portal assign any administrative role such as the Directory Readers role.

Diese Rolle ermöglicht das Lesen grundlegender Verzeichnisinformationen und ist den Mitgliedsbenutzern (nicht aber Gästen und Dienstprinzipalen) standardmäßig zugewiesen.This role allows reading basic directory information, which member users have by default (guests and service principals do not).

Fähigkeit zum Lesen anderer BenutzerAbility to read other users Diese Einstellung ist nur in PowerShell verfügbar.This setting is available in PowerShell only. Das Festlegen dieses Flags auf „$false“ verhindert, dass Nicht-Administratoren Benutzerinformationen aus dem Verzeichnis lesen können.Setting this flag to $false prevents all non-admins from reading user information from the directory. Durch dieses Flag wird jedoch nicht verhindert, dass Benutzerinformationen in anderen Microsoft-Diensten wie z. B. Exchange Online gelesen werden können.This flag does not prevent reading user information in other Microsoft services like Exchange Online. Diese Einstellung ist für besondere Umstände bestimmt – die Festlegung dieses Flags auf „$false“ wird nicht empfohlen.This setting is meant for special circumstances, and setting this flag to $false is not recommended.

Standardberechtigungen von Gastbenutzern einschränkenRestrict guest users default permissions

Die Standardberechtigungen für Gastbenutzer können auf folgende Weise eingeschränkt werden:Default permissions for guest users can be restricted in the following ways:

Hinweis

Die Einstellung Berechtigungen für Gastbenutzer sind eingeschränkt wurde durch die Einstellung für Zugriffseinschränkungen für Gastbenutzer ersetzt.The guests user access restrictions setting replaced the Guest users permissions are limited setting. Anleitungen zur Verwendung dieser Funktion finden Sie unter Einschränken von Gastzugriffsberechtigungen (Vorschau) in Azure Active Directory.For guidance on using this feature, see Restrict guest access permissions (preview) in Azure Active Directory.

BerechtigungPermission Erläuterung der EinstellungSetting explanation
Zugriffseinschränkungen für Gastbenutzer (Vorschau)Guests user access restrictions (Preview) Wenn Sie diese Option auf Gastbenutzer haben denselben Zugriff wie Mitglieder festlegen, werden Gastbenutzern standardmäßig alle Berechtigungen von Mitgliedsbenutzern gewährt.Setting this option to Guest users have the same access as members grants all member user permissions to guest users by default.

Wenn Sie diese Option auf Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt festlegen, ist der Gastzugriff standardmäßig auf das eigene Benutzerprofil beschränkt.Setting this option to Guest user access is restricted to properties and memberships of their own directory objects restricts guest access to only their own user profile by default. Der Zugriff auf andere Benutzer ist auch bei der Suche nach Benutzerprinzipalname, ObjectId oder Anzeigename nicht mehr zulässig.Access to other users are no longer allowed even when searching by User Principal Name, ObjectId or Display Name. Der Zugriff auf Gruppeninformationen einschließlich Gruppenmitgliedschaften ist ebenfalls nicht mehr zulässig.Access to groups information including groups memberships is also no longer allowed.

Hinweis: Diese Einstellung verhindert nicht den Zugriff auf eingebundene Gruppen in einigen Microsoft 365-Diensten wie z. B. Microsoft Teams.Note: This setting does not prevent access to joined groups in some Microsoft 365 services like Microsoft Teams. Weitere Informationen finden Sie unter Gastzugriff auf Microsoft Teams.See Microsoft Teams Guest access to learn more.

Gastbenutzer können unabhängig von diesen Berechtigungseinstellungen weiterhin Administratorrollen hinzugefügt werden.Guest users can still be added to administrator roles regardless of this permission settings.

Gäste können einladenGuests can invite Wenn Sie diese Option auf „Ja“ festlegen, können Gäste andere Gäste einladen.Setting this option to Yes allows guests to invite other guests. Weitere Informationen finden Sie unter Delegieren von Einladungen zur B2B-Zusammenarbeit.See Delegate invitations for B2B collaboration to learn more.
Mitglieder können einladenMembers can invite Wenn Sie diese Option auf „Ja“ festlegen, können Mitglieder Ihres Verzeichnisses, die keine Administratoren sind, Gäste einladen.Setting this option to Yes allows non-admin members of your directory to invite guests. Weitere Informationen finden Sie unter Delegieren von Einladungen zur B2B-Zusammenarbeit.See Delegate invitations for B2B collaboration to learn more.
Administratoren und Benutzer mit der Rolle „Gasteinladender“ können einladenAdmins and users in the guest inviter role can invite Wenn Sie diese Option auf „Ja“ festlegen, können Administratoren und Benutzer, die der Rolle „Gasteinladender“ zugewiesen sind, Gäste einladen.Setting this option to Yes allows admins and users in the "Guest Inviter" role to invite guests. Ist diese Option auf „Ja“ festgelegt, können Benutzer, die der Rolle „Gasteinladender“ zugewiesen sind, Gäste auch unabhängig davon einladen, was für die Einstellung „Mitglieder können einladen“ festgelegt ist.When set to Yes, users in the Guest inviter role will still be able to invite guests, regardless of the Members can invite setting. Weitere Informationen finden Sie unter Delegieren von Einladungen zur B2B-Zusammenarbeit.See Delegate invitations for B2B collaboration to learn more.

ObjektbesitzObject ownership

Berechtigungen als AnwendungsregistrierungsbesitzerApplication registration owner permissions

Wenn ein Benutzer eine Anwendung registriert, wird er automatisch als Besitzer für die Anwendung hinzugefügt.When a user registers an application, they are automatically added as an owner for the application. Als Besitzer kann der Benutzer die Metadaten der Anwendung verwalten, beispielsweise den Namen und Berechtigungen, die von der App anfordert werden.As an owner, they can manage the metadata of the application, such as the name and permissions the app requests. Darüber hinaus kann der Benutzer auch die mandantenspezifische Konfiguration der Anwendung verwalten, z.B. die SSO-Konfiguration und Benutzerzuweisungen.They can also manage the tenant-specific configuration of the application, such as the SSO configuration and user assignments. Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen.An owner can also add or remove other owners. Im Gegensatz zu globalen Administratoren können Besitzer nur Anwendungen verwalten, deren Besitzer sie sind.Unlike Global Administrators, owners can only manage applications they own.

Besitzerberechtigungen für UnternehmensanwendungenEnterprise application owner permissions

Wenn ein Benutzer eine neue Unternehmensanwendung hinzufügt, wird er automatisch als Besitzer hinzugefügt.When a user adds a new enterprise application, they are automatically added as an owner. Als Besitzer kann er die mandantenspezifische Konfiguration der Anwendung verwalten, z. B. die SSO-Konfiguration, die Bereitstellung und Benutzerzuweisungen.As an owner, they can manage the tenant-specific configuration of the application, such as the SSO configuration, provisioning, and user assignments. Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen.An owner can also add or remove other owners. Im Gegensatz zu globalen Administratoren können Besitzer nur die Anwendungen verwalten, deren Besitzer sie sind.Unlike Global Administrators, owners can manage only the applications they own.

Berechtigungen als GruppenbesitzerGroup owner permissions

Wenn ein Benutzer eine Gruppe erstellt, wird er automatisch als Besitzer für diese Gruppe hinzugefügt.When a user creates a group, they are automatically added as an owner for that group. Als Besitzer kann der Benutzer die Eigenschaften der Gruppe verwalten, beispielsweise den Namen und die Gruppenmitgliedschaft.As an owner, they can manage properties of the group such as the name, as well as manage group membership. Ein Besitzer kann außerdem andere Besitzer hinzufügen oder entfernen.An owner can also add or remove other owners. Im Gegensatz zu globalen Administratoren und Benutzerdministratoren können Besitzer nur Gruppen verwalten, deren Besitzer sie sind.Unlike Global administrators and User administrators, owners can only manage groups they own. Informationen zum Zuweisen eines Gruppenbesitzers finden Sie unter Verwalten von Besitzern für eine Gruppe.To assign a group owner, see Managing owners for a group.

BesitzerberechtigungenOwnership Permissions

In den folgenden Tabellen werden die spezifischen Berechtigungen in Azure Active Directory beschrieben, über die Mitgliedsbenutzer für Objekte in ihrem Besitz verfügen.The following tables describe the specific permissions in Azure Active Directory member users have over owned objects. Der Benutzer verfügt über diese Berechtigungen nur für Objekte, deren Besitzer er ist.The user only has these permissions on objects they own.

Anwendungsregistrierungen im Besitz des BenutzersOwned application registrations

Benutzer können die folgenden Aktionen für Anwendungsregistrierungen ausführen, deren Besitzer sie sind.Users can perform the following actions on owned application registrations.

AktionenActions BeschreibungDescription
microsoft.directory/applications/audience/updatemicrosoft.directory/applications/audience/update Aktualisieren der applications.audience-Eigenschaft in Azure Active DirectoryUpdate applications.audience property in Azure Active Directory.
microsoft.directory/applications/authentication/updatemicrosoft.directory/applications/authentication/update Aktualisieren der applications.authentication-Eigenschaft in Azure Active DirectoryUpdate applications.authentication property in Azure Active Directory.
microsoft.directory/applications/basic/updatemicrosoft.directory/applications/basic/update Aktualisieren der Basiseigenschaften für Anwendungen in Azure Active DirectoryUpdate basic properties on applications in Azure Active Directory.
microsoft.directory/applications/credentials/updatemicrosoft.directory/applications/credentials/update Aktualisieren der applications.credentials-Eigenschaft in Azure Active DirectoryUpdate applications.credentials property in Azure Active Directory.
microsoft.directory/applications/deletemicrosoft.directory/applications/delete Löschen von Anwendungen in Azure Active DirectoryDelete applications in Azure Active Directory.
microsoft.directory/applications/owners/updatemicrosoft.directory/applications/owners/update Aktualisieren der applications.owners-Eigenschaft in Azure Active DirectoryUpdate applications.owners property in Azure Active Directory.
microsoft.directory/applications/permissions/updatemicrosoft.directory/applications/permissions/update Aktualisieren der applications.permissions-Eigenschaft in Azure Active DirectoryUpdate applications.permissions property in Azure Active Directory.
microsoft.directory/applications/policies/updatemicrosoft.directory/applications/policies/update Aktualisieren der applications.policies-Eigenschaft in Azure Active DirectoryUpdate applications.policies property in Azure Active Directory.
microsoft.directory/applications/restoremicrosoft.directory/applications/restore Wiederherstellen von Anwendungen in Azure Active DirectoryRestore applications in Azure Active Directory.

Unternehmensanwendungen im Besitz des BenutzersOwned enterprise applications

Benutzer können die folgenden Aktionen für Unternehmensanwendungen ausführen, deren Besitzer sie sind.Users can perform the following actions on owned enterprise applications. Eine Unternehmensanwendung besteht aus dem Dienstprinzipal, einer oder mehrerer Anwendungsrichtlinien und manchmal einem Anwendungsobjekt im gleichen Mandanten wie der Dienstprinzipal.An enterprise application is made up of service principal, one or more application policies, and sometimes an application object in the same tenant as the service principal.

AktionenActions BeschreibungDescription
microsoft.directory/auditLogs/allProperties/readmicrosoft.directory/auditLogs/allProperties/read Lesen aller Eigenschaften (einschließlich der privilegierten Eigenschaften) für Überwachungsprotokolle (auditLogs) in Azure Active DirectoryRead all properties (including privileged properties) on auditLogs in Azure Active Directory.
microsoft.directory/policies/basic/updatemicrosoft.directory/policies/basic/update Aktualisieren der Basiseigenschaften für Richtlinien in Azure Active DirectoryUpdate basic properties on policies in Azure Active Directory.
microsoft.directory/policies/deletemicrosoft.directory/policies/delete Löschen von Richtlinien in Azure Active DirectoryDelete policies in Azure Active Directory.
microsoft.directory/policies/owners/updatemicrosoft.directory/policies/owners/update Aktualisieren der policies.owners-Eigenschaft in Azure Active DirectoryUpdate policies.owners property in Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignedTo/updatemicrosoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualisieren der servicePrincipals.appRoleAssignedTo-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.appRoleAssignedTo property in Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignments/updatemicrosoft.directory/servicePrincipals/appRoleAssignments/update Aktualisieren der users.appRoleAssignments-Eigenschaft in Azure Active DirectoryUpdate users.appRoleAssignments property in Azure Active Directory.
microsoft.directory/servicePrincipals/audience/updatemicrosoft.directory/servicePrincipals/audience/update Aktualisieren der servicePrincipals.audience-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.audience property in Azure Active Directory.
microsoft.directory/servicePrincipals/authentication/updatemicrosoft.directory/servicePrincipals/authentication/update Aktualisieren der servicePrincipals.authentication-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.authentication property in Azure Active Directory.
microsoft.directory/servicePrincipals/basic/updatemicrosoft.directory/servicePrincipals/basic/update Aktualisieren der Basiseigenschaften für servicePrincipals in Azure Active DirectoryUpdate basic properties on servicePrincipals in Azure Active Directory.
microsoft.directory/servicePrincipals/credentials/updatemicrosoft.directory/servicePrincipals/credentials/update Aktualisieren der servicePrincipals.credentials-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.credentials property in Azure Active Directory.
microsoft.directory/servicePrincipals/deletemicrosoft.directory/servicePrincipals/delete Löschen von servicePrincipals in Azure Active DirectoryDelete servicePrincipals in Azure Active Directory.
microsoft.directory/servicePrincipals/owners/updatemicrosoft.directory/servicePrincipals/owners/update Aktualisieren der servicePrincipals.owners-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.owners property in Azure Active Directory.
microsoft.directory/servicePrincipals/permissions/updatemicrosoft.directory/servicePrincipals/permissions/update Aktualisieren der servicePrincipals.permissions-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.permissions property in Azure Active Directory.
microsoft.directory/servicePrincipals/policies/updatemicrosoft.directory/servicePrincipals/policies/update Aktualisieren der servicePrincipals.policies-Eigenschaft in Azure Active DirectoryUpdate servicePrincipals.policies property in Azure Active Directory.
microsoft.directory/signInReports/allProperties/readmicrosoft.directory/signInReports/allProperties/read Lesen aller Eigenschaften (einschließlich der privilegierten Eigenschaften) für Anmeldeberichte (signInReports) in Azure Active DirectoryRead all properties (including privileged properties) on signInReports in Azure Active Directory.

Geräte im Besitz des BenutzersOwned devices

Benutzer können die folgenden Aktionen für Geräte ausführen, deren Besitzer sie sind.Users can perform the following actions on owned devices.

AktionenActions BeschreibungDescription
microsoft.directory/devices/bitLockerRecoveryKeys/readmicrosoft.directory/devices/bitLockerRecoveryKeys/read Lesen der devices.bitLockerRecoveryKeys-Eigenschaft in Azure Active DirectoryRead devices.bitLockerRecoveryKeys property in Azure Active Directory.
microsoft.directory/devices/disablemicrosoft.directory/devices/disable Deaktivieren von Geräten in Azure Active DirectoryDisable devices in Azure Active Directory.

Gruppen im Besitz des BenutzersOwned groups

Benutzer können die folgenden Aktionen für Gruppen ausführen, deren Besitzer sie sind.Users can perform the following actions on owned groups.

AktionenActions BeschreibungDescription
microsoft.directory/groups/appRoleAssignments/updatemicrosoft.directory/groups/appRoleAssignments/update Aktualisieren der groups.appRoleAssignments-Eigenschaft in Azure Active DirectoryUpdate groups.appRoleAssignments property in Azure Active Directory.
microsoft.directory/groups/basic/updatemicrosoft.directory/groups/basic/update Aktualisieren der Basiseigenschaften für Gruppen in Azure Active DirectoryUpdate basic properties on groups in Azure Active Directory.
microsoft.directory/groups/deletemicrosoft.directory/groups/delete Löschen von Gruppen in Azure Active DirectoryDelete groups in Azure Active Directory.
microsoft.directory/groups/dynamicMembershipRule/updatemicrosoft.directory/groups/dynamicMembershipRule/update Aktualisieren der groups.dynamicMembershipRule-Eigenschaft in Azure Active DirectoryUpdate groups.dynamicMembershipRule property in Azure Active Directory.
microsoft.directory/groups/members/updatemicrosoft.directory/groups/members/update Aktualisieren der groups.members-Eigenschaft in Azure Active DirectoryUpdate groups.members property in Azure Active Directory.
microsoft.directory/groups/owners/updatemicrosoft.directory/groups/owners/update Aktualisieren der groups.owners-Eigenschaft in Azure Active DirectoryUpdate groups.owners property in Azure Active Directory.
microsoft.directory/groups/restoremicrosoft.directory/groups/restore Wiederherstellen von Gruppen in Azure Active DirectoryRestore groups in Azure Active Directory.
microsoft.directory/groups/settings/updatemicrosoft.directory/groups/settings/update Aktualisieren der groups.settings-Eigenschaft in Azure Active DirectoryUpdate groups.settings property in Azure Active Directory.

Nächste SchritteNext steps