Info zu AdministratorrollenAbout admin roles

Ihr Microsoft 365- oder Office 365-Abonnement bietet eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer Organisation mithilfe von Microsoft 365 Admin Center zuweisen können.Your Microsoft 365 or Office 365 subscription comes with a set of admin roles that you can assign to users in your organization using the Microsoft 365 admin center. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern.Each admin role maps to common business functions and gives people in your organization permissions to do specific tasks in the admin centers.

Im Microsoft 365 Admin Center können Sie Azure AD-Rollen und Microsoft Intune-Rollen verwalten.The Microsoft 365 admin center lets you manage Azure AD roles and Microsoft Intune roles. Bei diesen Rollen handelt es sich jedoch um eine Teilmenge der Rollen, die im Azure AD-Portal und im Intune Admin Center verfügbar sind.However, these roles are a subset of the roles available in the Azure AD portal and the Intune admin center.

Bevor Sie beginnenBefore you begin

Suchen Sie nach der vollständigen Liste der detaillierten Azure AD-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können?Looking for the full list of detailed Azure AD role descriptions you can manage in the Microsoft 365 admin center? Diese finden Sie unter "Administratorrollenberechtigungen in Azure Active Directory".Check out Administrator role permissions in Azure Active Directory. Administratorrollenberechtigungen in Azure Active Directory.Administrator role permissions in Azure Active Directory.

Suchen Sie nach der vollständigen Liste der detaillierten Intune-Rollenbeschreibungen, die Sie im Microsoft 365 Admin Center verwalten können?Looking for the full list of detailed Intune role descriptions you can manage in the Microsoft 365 admin center? Siehe Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.Check out Role-based access control (RBAC) with Microsoft Intune.

Weitere Informationen zum Zuweisen von Rollen im Microsoft 365 Admin Center finden Sie unter Zuweisen von Administratorrollen.For more information on assigning roles in the Microsoft 365 admin center, see Assign admin roles.

Schauen Sie sich an: Was ist ein Administrator?Watch: What is an admin?

Sicherheitsrichtlinien für das Zuweisen von RollenSecurity guidelines for assigning roles

Da Administratoren Zugriff auf vertrauliche Daten und Dateien haben, empfiehlt es sich, diese Richtlinien zu befolgen, um die Daten Ihrer Organisation besser zu schützen.Because admins have access to sensitive data and files, we recommend that you follow these guidelines to keep your organization's data more secure.

EmpfehlungRecommendation Warum ist das wichtig?Why is this important?
2 bis 4 globale Administratoren vorsehenHave 2 to 4 global admins Da nur ein anderer globaler Administrator das Kennwort eines globalen Administrators zurücksetzen kann, empfiehlt es sich, in Ihrer Organisation mindestens zwei globale Administratoren vorzusehen für den Fall, dass es zu einer Kontosperre kommt.Because only another global admin can reset a global admin's password, we recommend that you have at least 2 global admins in your organization in case of account lockout. Ein globaler Administrator hat jedoch fast unbegrenzten Zugriff auf die Einstellungen Ihrer Organisation und die meisten Daten. Daher wird empfohlen, nicht mehr als vier globale Administratoren einzurichten, da dies ein Sicherheitsrisiko darstellt.But the global admin has almost unlimited access to your org's settings and most of the data, so we also recommend that you don't have more than 4 global admins because that's a security threat.
Die Rolle mit den wenigsten Berechtigungen zuweisenAssign the least permissive role Die Rolle mit den wenigsten Berechtigungen zuweisen bedeutet, Administratoren nur den Zugriff zu gewähren, den sie zum Erledigen einer Aufgabe benötigen.Assigning the least permissive role means giving admins only the access they need to get the job done. Wenn Sie beispielsweise möchten, dass jemand Mitarbeiterkennwörter zurücksetzen kann, sollten Sie ihm nicht die unbegrenzte Rolle des globalen Administrators zuweisen, sondern eine Rolle mit eingeschränkten Befugnissen wie jene des Kennwortadministrators oder des Helpdesk-Administrators. Dies trägt dazu bei, Ihre Daten zu schützen.For example, if you want someone to reset employee passwords you shouldn't assign the unlimited global admin role, you should assign a limited admin role, like Password admin or Helpdesk admin. This will help keep your data secure.
Mehrstufige Authentifizierung vorschreibenRequire multi-factor authentication for admins Es ist zwar sinnvoll, die mehrstufige Authentifizierung für alle Benutzer vorzuschreiben, für Administratoren sollte sie jedoch unbedingt zur Anmeldung vorgesehen sein.It's actually a good idea to require MFA for all of your users, but admins should definitely be required to use MFA to sign in. Bei der mehrstufigen Authentifizierung müssen Benutzer eine zweite Identifikationsmethode eingeben, um sicherzustellen, dass sie tatsächlich die Person sind, die sie behaupten zu sein.MFA makes users enter a second method of identification to verify they are who they say they are. Administratoren können auf eine Vielzahl von Kunden- und Mitarbeiterdaten zugreifen. Wenn Sie die mehrstufige Authentifizierung vorschreiben, ist ein kompromittiertes Administratorkennwort ohne die zweite Art der Identifizierung nutzlos.Admins can have access to a lot of customer and employee data and if you require MFA, even if the admin's password gets compromised, the password is useless without the second form of identification.

Wenn Sie die mehrstufige Authentifizierung aktivieren, müssen die Benutzer bei der nächsten Anmeldung eine alternative E-Mail-Adresse und Telefonnummer für die Kontowiederherstellung angeben.When you turn on MFA, the next time the user signs in, they'll need to provide an alternate email address and phone number for account recovery.
Einrichten der mehrstufigen AuthentifizierungSet up multi-factor authentication

Wenn im Admin Center eine Nachricht angezeigt wird, die besagt, dass Sie nicht über die Berechtigungen zum Bearbeiten einer Einstellung oder Seite verfügen, liegt dies daran, dass Ihnen eine Rolle zugewiesen ist, die nicht über die entsprechende Berechtigung verfügt.If you get a message in the admin center telling you that you don't have permissions to edit a setting or page, it's because you are assigned a role that doesn't have that permission.

Häufig verwendete Microsoft 365 Admin Center-RollenCommonly used Microsoft 365 admin center roles

Im Microsoft 365 Admin Center können Sie zu Rollenwechseln und dann eine beliebige Rolle auswählen, um den entsprechenden Detailbereich zu öffnen.In the Microsoft 365 admin center, you can go to Roles, and then select any role to open its detail pane. Wählen Sie die Registerkarte Berechtigungen aus, um eine detaillierte Liste der Berechtigungen anzuzeigen, über die Administratoren mit dieser Rolle verfügen.Select the Permissions tab to view the detailed list of what admins assigned that role have permissions to do. Wählen Sie die Registerkarte Zugewiesene oder Zugewiesene Administratoren aus, um Benutzer zu Rollen hinzuzufügen.Select the Assigned or Assigned admins tab to add users to roles.

Es genügt wahrscheinlich, wenn Sie in Ihrer Organisation nur die nachstehend aufgeführten Rollen zuweisen.You'll probably only need to assign the following roles in your organization. Standardmäßig werden zuerst die Rollen angezeigt, die von den meisten Organisationen verwendet werden.By default, we first show roles that most organizations use. Wenn Sie eine Rolle nicht finden können, gehen Sie zum Ende der Liste, und wählen Sie Alle nach Kategorie anzeigen aus.If you can't find a role, go to the bottom of the list and select Show all by Category. (Ausführliche Informationen, einschließlich der mit einer Rolle verknüpften Cmdlets, finden Sie unter Administratorrollenberechtigungen in Azure Active Directory.)(For detailed information, including the cmdlets associated with a role, see Administrator role permissions in Azure Active Directory.)

AdministratorrolleAdmin role Wem sollte diese Rolle zugewiesen werden?Who should be assigned this role?
Exchange-AdministratorExchange admin Weisen Sie die Exchange-Administratorrolle Benutzern zu, die die E-Mail-Postfächer Ihrer Benutzer, Microsoft 365-Gruppen und Exchange Online einsehen und verwalten müssen.Assign the Exchange admin role to users who need to view and manage your user's email mailboxes, Microsoft 365 groups, and Exchange Online.

Exchange-Administratoren sind außerdem zu Folgendem berechtigt:Exchange admins can also:
- Wiederherstellen gelöschter Elemente im Postfach eines Benutzers- Recover deleted items in a user's mailbox
- Einrichten von "Senden als"- und "Senden im Auftrag von"-Stellvertretungen- Set up "Send As" and "Send on behalf" delegates
Globaler AdministratorGlobal admin Weisen Sie Benutzern, die globalen Zugriff auf die meisten Verwaltungsfunktionen und Daten in Microsoft Online-Diensten benötigen, die Rolle des globalen Administrators zu.Assign the Global admin role to users who need global access to most management features and data across Microsoft online services.

Wenn Sie zu vielen Benutzern globalen Zugriff gewähren, besteht ein Sicherheitsrisiko, deshalb empfiehlt es sich, nur zwei bis vier globale Administratoren vorzusehen.Giving too many users global access is a security risk and we recommend that you have between 2 and 4 Global admins.

Nur globale Administratoren sind zu Folgendem berechtigt:Only global admins can:
- Zurücksetzen von Kennwörtern für alle Benutzer- Reset passwords for all users
- Hinzufügen und Verwalten von Domänen- Add and manage domains

Hinweis: Die Person, die die Registrierung für Microsoft-Onlinedienste vorgenommen hat, wird automatisch zu einem globalen Administrator.Note: The person who signed up for Microsoft online services automatically becomes a Global admin.
Globaler LeserGlobal reader Weisen Sie die Rolle "Globaler Leser" Benutzern zu, die Administratorfunktionen und -einstellungen in Admin Centern einsehen müssen, die der globale Administrator anzeigen kann.Assign the global reader role to users who need to view admin features and settings in admin centers that the global admin can view. Ein Administrator mit der Rolle "Globaler Leser" kann keine Einstellungen bearbeiten.The global reader admin can't edit any settings.
GruppenadministratorGroups admin Weisen Sie die Rolle des Gruppenadministrators Benutzern zu, die alle Gruppeneinstellungen in den Admin Centern verwalten müssen, einschließlich des Microsoft 365 Admin Centers und des Azure Active Directory-Portals.Assign the groups admin role to users who need to manage all groups settings across admin centers, including the Microsoft 365 admin center and Azure Active Directory portal.

Gruppenadministratoren sind zu Folgendem berechtigt:Groups admins can:
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Microsoft 365-Gruppen- Create, edit, delete, and restore Microsoft 365 groups
- Einrichten und Aktualisieren von Erstellung, Ablauf und Benennungsrichtlinien von bzw. für Gruppen- Create and update group creation, expiration, and naming policies
- Erstellen, Bearbeiten, Löschen und Wiederherstellen von Azure Active Directory-Sicherheitsgruppen- Create, edit, delete, and restore Azure Active Directory security groups
Helpdesk-AdministratorHelpdesk admin Weisen Sie die Rolle des Helpdesk-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:Assign the Helpdesk admin role to users who need to do the following:
- Kennwörter zurücksetzen- Reset passwords
- Die Abmeldung von Benutzern erzwingen- Force users to sign out
- Serviceanfragen verwalten- Manage service requests
- Den Dienststatus überwachen- Monitor service health

Hinweis: Der Helpdesk-Administrator kann nur Benutzern ohne Administratorrolle sowie Benutzern helfen, welchen folgende Rollen zugewiesen wurden: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.Note: The Helpdesk admin can only help non-admin users and users assigned these roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, and Reports reader.
Office-Apps-AdministratorOffice Apps admin Weisen Sie die Rolle des Office-Apps-Administrators Benutzern zu, die folgende Aktionen ausführen müssen:Assign the Office Apps admin role to users who need to do the following:
- Verwenden des Office-Cloudrichtliniendiensts zum Erstellen und Verwalten von cloudbasierten Richtlinien für Office- Use the Office cloud policy service to create and manage cloud-based policies for Office
- Serviceanfragen erstellen und verwalten- Create and manage service requests
- Verwalten der Inhalte im Dialogfenster "Neuigkeiten", das den Benutzern in ihren Office-Apps angezeigt wird- Manage the What's New content that users see in their Office apps
- Den Dienststatus überwachen- Monitor service health
DienstsupportadministratorService Support admin Weisen Sie die Rolle des Dienstsupportadministrators als zusätzliche Rolle Administratoren oder Benutzern zu, die Berechtigungen für folgende, von ihren Rollen nicht vorgesehene Aktionen benötigen:Assign the Service Support admin role as an additional role to admins or users whose role doesn't include the following, but still need to do the following:
- Serviceanfragen öffnen und verwalten- Open and manage service requests
- Nachrichtencenter-Beiträge anzeigen und freigeben- View and share message center posts
SharePoint-AdministratorSharePoint admin Weisen Sie die SharePoint-Administratorrolle Benutzern zu, die auf das SharePoint Online Admin Center zugreifen und dieses verwalten müssen.Assign the SharePoint admin role to users who need to access and manage the SharePoint Online admin center.

SharePoint-Administratoren sind zudem zu Folgendem berechtigt:SharePoint admins can also:
- Erstellen und Löschen von Websites- Create and delete sites
- Verwalten von Websitesammlungen und globalen SharePoint-Einstellungen- Manage site collections and global SharePoint settings
Teams-DienstadministratorTeams service admin Weisen Sie die Teams-Dienstadministratorrolle Benutzern zu, die auf das Teams Admin Center zugreifen und es verwalten müssen.Assign the Teams service admin role to users who need to access and manage the Teams admin center.

Teams-Dienstadministratoren können auch folgende Aktionen ausführen:Teams service admins can also:
- Verwalten von Besprechungen- Manage meetings
- Verwalten von Konferenzbrücken- Manage conference bridges
- Verwalten aller organisationsweiten Einstellungen einschließlich Partnerverbund, Microsoft Teams-Upgrades und Einstellungen des Microsoft Teams-Clients- Manage all org-wide settings, including federation, teams upgrade, and teams client settings
BenutzeradministratorUser admin Weisen Sie die Rolle des Benutzeradministrators Benutzern zu, die folgende Aktionen für alle Benutzer ausführen müssen:Assign the User admin role to users who need to do the following for all users:
- Benutzer und Gruppen hinzufügen- Add users and groups
- Lizenzen zuweisen- Assign licenses
- Die meisten Benutzereigenschaften verwalten- Manage most users properties
- Benutzeransichten erstellen und verwalten- Create and manage user views
- Kennwortablaufrichtlinien aktualisieren- Update password expiration policies
- Serviceanfragen verwalten- Manage service requests
- Den Dienststatus überwachen- Monitor service health

Der Benutzeradministrator kann außerdem die unten aufgeführten Aktionen für Benutzer ohne Administratorrolle sowie für Benutzer ausführen, denen die folgenden Rollen zugewiesen sind: Verzeichnisleseberechtigter, Gasteinladender, Helpdesk-Administrator, Nachrichtencenter-Leseberechtigter und Berichtleseberechtigter.The user admin can also do the following actions for users who aren't admins and for users assigned the following roles: Directory reader, Guest inviter, Helpdesk admin, Message center reader, Reports reader:
- Benutzernamen verwalten- Manage usernames
- Benutzerkonten löschen und wiederherstellen- Delete and restore users
- Kennwörter zurücksetzen- Reset passwords
- Die Abmeldung von Benutzern erzwingen- Force users to sign out
- (FIDO)-Geräteschlüssel aktualisieren- Update (FIDO) device keys

Delegierte Administration für Microsoft-PartnerDelegated administration for Microsoft Partners

Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen.If you're working with a Microsoft partner, you can assign them admin roles. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen.They, in turn, can assign users in your company, or their company, admin roles. Dies kann beispielsweise sinnvoll sein, wenn diese Personen Ihre Online-Organisation für Sie einrichten und verwalten.You might want them to do this, for example, if they are setting up and managing your online organization for you.

Ein Partner kann die folgenden Rollen zuweisen: A partner can assign these roles:

  • Vollständige Verwaltung: Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.Full administration Privileges equivalent to a global admin, with the exception of managing multi-factor authentication through the Partner Center.

  • Eingeschränkte Verwaltung: Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.Limited administration Privileges equivalent to a helpdesk admin.

Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen.Before the partner can assign these roles to users, you must add the partner as a delegated admin to your account. Dieser Vorgang wird von einem autorisierten Partner initiiert.This process is initiated by an authorized partner. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.The partner sends you an email to ask you if you want to give them permission to act as a delegated admin. For instructions, see Authorize or remove partner relationships.

Zuweisen von AdministratorrollenAssign admin roles

Azure AD-Rollen im Microsoft 365 Admin CenterAzure AD roles in the Microsoft 365 admin center

Exchange Online-AdministratorrolleExchange Online admin role

Teams-Aktivitätsberichte im Microsoft 365 Admin CenterActivity reports in the Microsoft 365 admin center