Grundlegendes zu Rollen in Azure Active Directory

Es gibt etwa 60 integrierte Azure AD-Rollen (Azure Active Directory). Hierbei handelt es sich um Rollen mit einer Reihe fester Rollenberechtigungen. Zur Ergänzung der integrierten Rollen werden von Azure AD auch benutzerdefinierte Rollen unterstützt. Mit benutzerdefinierten Rollen können Sie die gewünschten Rollenberechtigungen auswählen. So können Sie beispielsweise eine Rolle für die Verwaltung bestimmter Azure AD-Ressourcen (etwa Anwendungen oder Dienstprinzipale) erstellen.

In diesem Artikel erfahren Sie, was Azure AD-Rollen sind und wie sie verwendet werden können.

Unterschiede zwischen Azure AD-Rollen und anderen Microsoft 365-Rollen

Microsoft 365 umfasst zahlreiche verschiedene Dienste – beispielsweise Azure AD und Intune. Einige dieser Dienste verfügen über eigene rollenbasierte Zugriffssteuerungssysteme. Das gilt insbesondere für folgende Dienste:

  • Azure Active Directory (Azure AD)
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender-Portal
  • Complianceportal
  • Kostenverwaltung + Abrechnung

Andere Dienste wie Teams, SharePoint und Managed Desktop verfügen dagegen über keine separaten rollenbasierten Zugriffssteuerungssysteme. Sie verwenden Azure AD-Rollen für den Administratorzugriff. Azure verfügt über ein eigenes rollenbasiertes Zugriffssteuerungssystem für Azure-Ressourcen wie etwa virtuelle Computer, und dieses System unterscheidet sich von Azure AD-Rollen.

Azure RBAC versus Azure AD roles

Ein separates rollenbasiertes Zugriffssteuerungssystem bedeutet, dass Rollendefinitionen und Rollenzuweisungen in einem anderen Datenspeicher gespeichert werden. Ebenso gibt es einen anderen Richtlinienentscheidungspunkt, an dem Zugriffsüberprüfungen durchgeführt werden. Weitere Informationen finden Sie unter Rollen für Microsoft 365-Dienste in Azure Active Directory sowie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-Rollen.

Warum gibt es einige Azure AD-Rollen für andere Dienste?

Microsoft 365 verfügt über eine Reihe rollenbasierter Zugriffssteuerungssysteme, die im Laufe der Zeit unabhängig voneinander entwickelt wurden und jeweils über ein eigenes Dienstportal verfügen. Um die Identitätsverwaltung innerhalb von Microsoft 365 über das Azure-Portal zu vereinfachen, haben wir einige dienstspezifische integrierte Rollen hinzugefügt, die jeweils Administratorzugriff auf einen Microsoft 365-Dienst gewähren. Ein Beispiel hierfür ist die Rolle „Exchange-Administrator“ in Azure AD. Diese Rolle entspricht der Rollengruppe „Organisationsverwaltung“ im rollenbasierten Zugriffssteuerungssystem von Exchange und kann alle Aspekte von Exchange verwalten. Analog dazu haben wir die Rollen „Intune-Administrator“, „Teams-Administrator“, „SharePoint-Administrator“ usw. hinzugefügt. Dienstspezifische Rollen stellen im folgenden Abschnitt eine Kategorie der integrierten Azure AD-Rollen dar.

Kategorien von Azure AD-Rollen

Integrierte Azure AD-Rollen unterscheiden sich hinsichtlich ihres Verwendungsorts und lassen sich in drei allgemeine Kategorien unterteilen:

  • Azure AD-spezifische Rollen: Durch diese Rollen werden nur Berechtigungen für die Verwaltung von Ressourcen innerhalb von Azure AD gewährt. „Benutzeradministrator“, „Anwendungsadministrator“ und „Gruppenadministrator“ gewähren beispielsweise jeweils Berechtigungen für die Verwaltung von Ressourcen in Azure AD.
  • Dienstspezifische Rollen: Für wichtige Microsoft 365-Dienste (nicht Azure AD) wurden dienstspezifische Rollen erstellt, die Berechtigungen für die Verwaltung aller Features innerhalb des Diensts gewähren. Von den Rollen „Exchange-Administrator“, „Intune-Administrator“, „SharePoint-Administrator“ und „Teams-Administrator“ können Features mit den jeweiligen Diensten verwaltet werden. Ein Exchange-Administrator kann Postfächer verwalten, ein Intune-Administrator kann Geräterichtlinien verwalten, ein SharePoint-Administrator kann Websitesammlungen verwalten, ein Teams-Administrator kann Aspekte der Anrufqualität verwalten usw.
  • Dienstübergreifende Rollen: Einige Rollen umfassen mehrere Dienste. Es gibt zwei globale Rollen: „Globaler Administrator“ und „Globaler Leser“. Diese beiden Rollen werden von allen Microsoft 365-Diensten anerkannt. Darüber hinaus gibt es einige sicherheitsbezogene Rollen wie „Sicherheitsadministrator“ und „Sicherheitsleseberechtigter“, die Zugriff auf mehrere Sicherheitsdienste in Microsoft 365 gewähren. Mit Sicherheitsadministratorrollen in Azure AD können Sie beispielsweise das Microsoft 365 Defender-Portal, Microsoft Defender Advanced Threat Protection und Microsoft Defender for Cloud Apps verwalten. Analog dazu können Sie mit der Rolle „Complianceadministrator“ compliancebezogene Einstellungen im Complianceportal, Exchange usw. verwalten.

The three categories of Azure AD built-in roles

Die folgende Tabelle dient zum besseren Verständnis dieser Rollenkategorien. Die Kategorienamen wurden willkürlich gewählt und sollen keine Funktionen implizieren, die über die dokumentierten Azure AD-Rollenberechtigungen hinausgehen.

Kategorie Role
Azure AD-spezifische Rollen Anwendungsadministrator
Anwendungsentwickler
Authentifizierungsadministrator
B2C-IEF-Schlüsselsatzadministrator
B2C-IEF-Richtlinienadministrator
Cloudanwendungsadministrator
Cloudgeräteadministrator
Administrator für den bedingten Zugriff
Geräteadministratoren
Rolle „Verzeichnis lesen“
Konten zur Verzeichnissynchronisierung
Verzeichnis schreiben
Administrator für Benutzerflows mit externer ID
Administrator für Benutzerflowattribute mit externer ID
Externer Identitätsanbieteradministrator
Gruppenadministrator
Gasteinladender
Helpdeskadministrator
Hybrididentitätsadministrator
Lizenzadministrator
Partnersupport der Ebene 1
Partnersupport der Ebene 2
Kennwortadministrator
Privilegierter Authentifizierungsadministrator
Administrator für privilegierte Rollen
Meldet Reader
Benutzeradministrator
Dienstübergreifende Rollen Globaler Administrator
Complianceadministrator
Administrator für Konformitätsdaten
Globaler Leser
Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter
Dienstunterstützungsadministrator
Dienstspezifische Rollen Azure DevOps-Administrator
Azure Information Protection-Administrator
Abrechnungsadministrator
CRM-Dienstadministrator
Genehmiger für Kunden-Lockboxzugriff
Desktop Analytics-Administrator
Exchange-Dienstadministrator
Insights Administrator
Insights Business Leader
Intune-Dienstadministrator
Kaizala-Administrator
Lync-Dienstadministrator
Nachrichtencenter-Datenschutzleseberechtigter
Nachrichtencenter-Leser
Modern Commerce User
Netzwerkadministrator
Office-Apps-Administrator
Power BI-Dienstadministrator
Power Platform-Administrator
Druckeradministrator
Druckertechniker
Suchadministrator
Such-Editor
SharePoint-Dienstadministrator
Teams-Kommunikationsadministrator
Teams-Kommunikationssupporttechniker
Teams-Kommunikationssupportspezialist
Teams-Geräteadministrator
Teams-Administrator

Nächste Schritte