Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID
In diesem Artikel finden Sie die erforderlichen Informationen, um Administratorrechte eines Benutzers einzuschränken, indem Sie die am wenigsten privilegierten Rollen in Microsoft Entra ID zuweisen. Sie werden Aufgaben finden, die nach Funktionsbereichen und der Rolle mit den geringsten Berechtigungen geordnet sind, die zum Ausführen jeder Aufgabe erforderlich sind, zusammen mit zusätzlichen nicht-globalen Administratorrollen, die die Aufgabe ausführen können.
Sie können Berechtigungen weiter einschränken, indem Sie Rollen in kleineren Bereichen zuweisen oder eigene benutzerdefinierte Rollen erstellen. Weitere Informationen finden Sie unter Zuweisen Microsoft Entra Rollen in verschiedenen Bereichen oder Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID.
Anwendungsproxy
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Konfigurieren einer Anwendungsproxy-App | Anwendungsadministrator | |
| Konfigurieren von Connectorgruppeneigenschaften | Anwendungsadministrator | |
| Erstellen einer Anwendungsregistrierung, wenn die Funktion für alle Benutzer deaktiviert ist | Anwendungsentwickler | Cloudanwendungsadministrator Anwendungsadministrator |
| Erstellen einer Connectorgruppe | Anwendungsadministrator | |
| Löschen einer Connectorgruppe | Anwendungsadministrator | |
| Anwendungsproxy deaktivieren | Anwendungsadministrator | |
| Herunterladen eines Connectordiensts | Anwendungsadministrator | |
| Lesen aller Konfigurationen | Anwendungsadministrator |
Externe Identitäten/B2C
Hinweis
Globale Azure AD B2C-Administratoren haben nicht die gleichen Berechtigungen wie Globale Microsoft Entra-Administratoren. Wenn Sie über globale Azure AD B2C-Administratorrechte verfügen, stellen Sie sicher, dass Sie sich in einem Azure AD B2C-Verzeichnis und nicht in einem Microsoft Entra-Verzeichnis befinden.
Unternehmensbranding
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Konfigurieren des Unternehmensbrandings | Organisationsbrandingadministrator | |
| Lesen aller Konfigurationen | Verzeichnisleseberechtigte | Standardbenutzerrolle |
Verbinden
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Pass-Through-Authentifizierung | Hybrididentitätsadministrator | |
| Lesen aller Konfigurationen | Globaler Leser | Hybrididentitätsadministrator |
| Nahtloses einmaliges Anmelden | Hybrididentitätsadministrator |
Connect Sync
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Verwalten der lokalen Verzeichnissynchronisierung | Hybrididentitätsadministrator |
Cloudbereitstellung
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Pass-Through-Authentifizierung | Hybrididentitätsadministrator | |
| Lesen aller Konfigurationen | Globaler Leser | Hybrididentitätsadministrator |
| Nahtloses einmaliges Anmelden | Hybrididentitätsadministrator |
Connect Health
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Hinzufügen oder Löschen von Diensten | Bes. | |
| Anwenden von Fehlerbehebungen zum Synchronisieren von Fehlern | Mitwirkender | Bes. |
| Konfigurieren von Benachrichtigungen | Mitwirkender | Bes. |
| Konfigurieren von Einstellungen | Bes. | |
| Konfigurieren von Synchronisierungsbenachrichtigungen | Mitwirkender | Bes. |
| Lesen von AD FS-Sicherheitsberichten | Sicherheitsleseberechtigter | Mitwirkender Bes. |
| Lesen aller Konfigurationen | Leser | Mitwirkender Bes. |
| Lesen von Synchronisierungsfehlern | Leser | Mitwirkender Bes. |
| Lesen von Synchronisierungsdiensten | Leser | Mitwirkender Bes. |
| Anzeigen von Metriken und Warnungen | Leser | Mitwirkender Bes. |
| Anzeigen von Metriken und Warnungen | Leser | Mitwirkender Bes. |
| Anzeigen von Metriken und Warnungen zum Synchronisierungsdienst | Leser | Mitwirkender Bes. |
Benutzerdefinierte Domänennamen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Verwalten von Domänen | Domänennamenadministrator | |
| Lesen aller Konfigurationen | Verzeichnisleseberechtigte | Standardbenutzerrolle |
Domänendienste
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Erstellen von Microsoft Entra Domain Services-Instanzen | Anwendungsadministrator Gruppenadministrator Mitwirkender für Domänendienste |
|
| Ausführen aller Microsoft Entra Domain Services-Aufgaben | AAD-DC-Administratorengruppe | |
| Lesen aller Konfigurationen | Leser für Azure-Abonnements, die den AD DS-Dienst umfassen |
Geräte
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Löschen des Geräts | Cloudgeräteadministrator | Intune-Administrator |
| Deaktivieren eines Geräts | Cloudgeräteadministrator | Intune-Administrator |
| Aktivieren eines Geräts | Cloudgeräteadministrator | Intune-Administrator |
| Lesen einer Standardkonfiguration | Standardbenutzerrolle | |
| Lesen von BitLocker-Schlüsseln | Cloudgeräteadministrator | Helpdeskadministrator Intune-Administrator Sicherheitsadministrator Sicherheitsleseberechtigter |
Unternehmensanwendungen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Erteilen der Zustimmung zu delegierten Berechtigungen | Cloudanwendungsadministrator | Anwendungsadministrator |
| Erteilen der Einwilligung zu Anwendungsberechtigungen, jedoch nicht für Microsoft Graph | Cloudanwendungsadministrator | Anwendungsadministrator |
| Erteilen der Einwilligung zu Anwendungsberechtigungen für Microsoft Graph | Administrator für privilegierte Rollen | |
| Erteilen der Zustimmung für Anwendungen, die auf eigene Daten zugreifen | Standardbenutzerrolle | |
| Erstellen einer Unternehmensanwendung | Cloudanwendungsadministrator | Anwendungsadministrator |
| Verwalten eines Anwendungsproxys | Anwendungsadministrator | |
| Überprüfung des Lesezugriffs einer Gruppe oder einer App | Sicherheitsleseberechtigter | Sicherheitsadministrator Benutzeradministrator |
| Lesen aller Konfigurationen | Standardbenutzerrolle | |
| Aktualisieren von Enterprise-Anwendungszuweisungen | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator Benutzeradministrator |
| Aktualisieren von Enterprise-Anwendungsbesitzern | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator |
| Aktualisieren von Enterprise-Anwendungseigenschaften | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator |
| Aktualisieren der Enterprise-Anwendungsbereitstellung | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator |
| Aktualisieren des Self-Service-Zugriffs auf Enterprise-Anwendungen | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator |
| Aktualisieren von Eigenschaften für das einmalige Anmelden | Unternehmensanwendungsbesitzer | Cloudanwendungsadministrator Anwendungsadministrator |
| Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen | Authentifizierungserweiterungsadministrator | Anwendungsadministrator |
Berechtigungsverwaltung
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Hinzufügen von Ressourcen zu einem Katalog | Identity Governance-Administrator | Mit der Berechtigungsverwaltung können Sie diese Aufgabe an den Katalogbesitzer delegieren. |
| Hinzufügen von SharePoint Online-Websites zum Katalog | SharePoint-Administrator |
Gruppen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lizenz zuweisen | Benutzeradministrator | |
| Erstellen einer Gruppe | Gruppenadministrator | Benutzeradministrator |
| Erstellen, Aktualisieren oder Löschen der Zugriffsüberprüfung einer Gruppe oder einer App | Benutzeradministrator | |
| Verwalten des Gruppenablaufs | Benutzeradministrator | |
| Verwalten von Gruppeneinstellungen | Gruppenadministrator | Benutzeradministrator |
| Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft) | Verzeichnisleseberechtigte | Standardbenutzerrolle |
| Lesen der ausgeblendeten Mitgliedschaft | Gruppenmitglied | Gruppenbesitzer Kennwortadministrator Exchange-Administrator SharePoint-Administrator Teams-Administrator Benutzeradministrator |
| Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft | Helpdeskadministrator | Benutzeradministrator Teams-Administrator |
| Widerrufen von Lizenzen | Lizenzadministrator | Benutzeradministrator |
| Aktualisierung dynamischer Gruppenmitgliedschaften | Gruppenbesitzer | Benutzeradministrator |
| Aktualisieren von Gruppenbesitzern | Gruppenbesitzer | Benutzeradministrator |
| Aktualisieren von Gruppeneigenschaften | Gruppenbesitzer | Benutzeradministrator |
| Gruppe löschen | Gruppenadministrator | Benutzeradministrator |
Lizenzen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lizenz zuweisen | Lizenzadministrator | Benutzeradministrator |
| Lesen aller Konfigurationen | Verzeichnisleseberechtigte | Standardbenutzerrolle |
| Widerrufen von Lizenzen | Lizenzadministrator | Benutzeradministrator |
| Testen oder Erwerben von Abonnements | Abrechnungsadministrator |
Microsoft Entra Health
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Anzeigen von Szenarioüberwachungssignalen | Berichtleseberechtigter | Sicherheitsleseberechtigter Sicherheitsoperator Sicherheitsadministrator Helpdeskadministrator Globaler Leser |
Microsoft Entra ID Protection
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Konfigurieren von Warnungsbenachrichtigungen | Sicherheitsadministrator | |
| Konfigurieren und Aktivieren oder Deaktivieren einer MFA-Richtlinie | Sicherheitsadministrator | |
| Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Anmelderisiko | Sicherheitsadministrator | |
| Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Benutzerrisiko | Sicherheitsadministrator | |
| Konfigurieren von wöchentlichen Digests | Sicherheitsadministrator | |
| Alle Risikoerkennungen schließen | Sicherheitsadministrator | |
| Beheben oder Ausschließen von Sicherheitsrisiken | Sicherheitsadministrator | |
| Lesen aller Konfigurationen | Sicherheitsleseberechtigter | |
| Lesen aller Risikoerkennungen | Sicherheitsleseberechtigter | |
| Lesen von Sicherheitsrisiken | Sicherheitsleseberechtigter |
Überwachung und Integrität: Überwachungs- und Anmeldeprotokolle
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lesen von Überwachungsprotokollen | Berichtleseberechtigter | Anwendungsadministrator Cloudanwendungsadministrator Cloudgeräteadministrator Global Secure Access-Administrator Hybrid-Identitätsadministrator Sicherheitsadministrator Sicherheitsoperator Sicherheitsleseberechtigter |
Überwachung und Integrität – Bereitstellungsprotokolle
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lesen von Anmeldeprotokollen | Berichtleseberechtigter | Anwendungsadministrator Cloudanwendungsadministrator Cloudgeräteadministrator Hybrid-Identitätsadministrator Sicherheitsadministrator Sicherheitsoperator Sicherheitsleseberechtigter |
Überwachung und Integrität – Empfehlungen
Mehrstufige Authentifizierung
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Löschen aller vorhandenen App-Kennwörter, die von den ausgewählten Benutzern erstellt wurden | Authentifizierungsrichtlinienadministrator | Authentifizierungsadministrator |
| Deaktivieren der Benutzerbasierten MFA | Authentifizierungsadministrator | Privilegierter Authentifizierungsadministrator |
| Aktivieren der MFA pro Benutzer | Authentifizierungsadministrator | Privilegierter Authentifizierungsadministrator |
| Verwalten von MFA-Diensteinstellungen | Authentifizierungsrichtlinienadministrator | |
| Ausgewählte Benutzer müssen Kontaktmethoden erneut bereitstellen. | Authentifizierungsadministrator | |
| Wiederherstellen der Multi-Faktor-Authentifizierung für alle gespeicherten Geräte | Authentifizierungsadministrator |
MFA-Server
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Benutzer sperren/zulassen | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren der Kontosperrung | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren von Cacheregeln | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren der Betrugswarnung | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren von Benachrichtigungen | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren einer Einmalumgehung | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren von Einstellungen für Telefonanrufe | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren von Anbietern | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren der Servereinstellungen | Authentifizierungsrichtlinienadministrator | |
| Lesen eines Aktivitätsberichts | Globaler Leser | |
| Lesen aller Konfigurationen | Globaler Leser | |
| Lesen eines Serverstatus | Globaler Leser |
Organisationsbeziehungen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Verwalten von Identitätsanbietern | Externer Identitätsanbieteradministrator | |
| Lesen aller Konfigurationen | Globaler Leser |
Zurücksetzen von Kennwörtern
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Konfigurieren von Authentifizierungsmethoden | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren der Anpassung | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren einer Benachrichtigung | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren einer lokalen Integration | Authentifizierungsrichtlinienadministrator | |
| Konfigurieren der Eigenschaften der Kennwortzurücksetzung | Benutzeradministrator | Authentifizierungsrichtlinienadministrator |
| Konfigurieren der Registrierung | Authentifizierungsrichtlinienadministrator | |
| Lesen aller Konfigurationen | Sicherheitsadministrator | Benutzeradministrator |
Verwaltung von Berechtigungen
Was ist Microsoft Entra Permissions Management
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Onboarding von Mandanten | Berechtigungsverwaltungsadministrator | |
| Onboarding von Cloudumgebungen | Berechtigungsverwaltungsadministrator | |
| Zuweisen von Berechtigungen in der Verwaltung von Microsoft Entra-Berechtigungen | Berechtigungsverwaltungsadministrator | |
| Testversion starten und Microsoft Entra Permissions Management-Lizenzen kaufen | Rechnungsadministrator |
Privileged Identity Management
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Zuweisen von Benutzern zu Rollen | Administrator für privilegierte Rollen | |
| Konfigurieren von Rolleneinstellungen | Administrator für privilegierte Rollen | |
| Anzeigen der Überwachungsaktivität | Sicherheitsleseberechtigter | |
| Anzeigen von Rollenmitgliedschaften | Sicherheitsleseberechtigter |
Rollen und Administratoren
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Verwalten von Rollenzuweisungen | Administrator für privilegierte Rollen | |
| Überprüfen des Lesezugriffs einer Microsoft Entra Rolle | Sicherheitsleseberechtigter | Sicherheitsadministrator Administrator für privilegierte Rollen |
| Lesen aller Konfigurationen | Standardbenutzerrolle |
Sicherheit – Authentifizierungsmethoden
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Aktivieren oder Deaktivieren von Authentifizierungsmethoden | Authentifizierungsrichtlinienadministrator | |
| Anzeigen, Bereitstellen im Auftrag und Verwalten einzelner Benutzerauthentifizierungsmethoden | Authentifizierungsadministrator | Privilegierter Authentifizierungsadministrator |
| Konfigurieren des Kennwortschutzes | Sicherheitsadministrator | |
| Konfigurieren von Smart Lockout | Sicherheitsadministrator | |
| Lesen aller Konfigurationen | Globaler Leser |
Sicherheit: bedingter Zugriff
Sicherheit – Identity Security Score
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lesen aller Konfigurationen | Sicherheitsleseberechtigter | Sicherheitsadministrator |
| Lesen des Security Score | Sicherheitsleseberechtigter | Sicherheitsadministrator |
| Aktualisieren des Ereignisstatus | Sicherheitsadministrator |
Sicherheit – Riskante Anmeldungen
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Lesen aller Konfigurationen | Sicherheitsleseberechtigter | |
| Lesen riskanter Anmeldevorgänge | Sicherheitsleseberechtigter |
Sicherheit – Benutzer mit Risikokennzeichnung
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Verwerfen aller Ereignisse | Sicherheitsadministrator | |
| Lesen aller Konfigurationen | Sicherheitsleseberechtigter | |
| Lesen von Benutzern mit Risikokennzeichnung | Sicherheitsleseberechtigter |
Befristeter Zugriffspass
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Administratoren oder Mitglieder (außer für sich selbst) | Privilegierter Authentifizierungsadministrator | |
| Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Mitglieder (außer für sich selbst) | Authentifizierungsadministrator | |
| Anzeigen der Details eines befristeten Zugriffspasses für einen Benutzer (ohne den Code selbst zu lesen) | Globaler Leser | |
| Konfigurieren oder Aktualisieren der Richtlinie für die Authentifizierungsmethode des befristeten Zugriffspasses | Authentifizierungsrichtlinienadministrator |
Mandant
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Erstellen eines Microsoft Entra ID- oder Azure AD B2C-Mandanten | Mandantenersteller | |
| Aktualisieren von Microsoft Entra-Mandanteneigenschaften | Rechnungsadministrator | |
| Verwalten von Datenschutzbestimmungen und Kontakten | Rechnungsadministrator |
Benutzer
| Aufgabe | Am wenigsten privilegierte Rolle | Zusätzliche Rollen |
|---|---|---|
| Hinzufügen von Benutzern zur Verzeichnisrolle | Administrator für privilegierte Rollen | |
| Hinzufügen von Benutzern zur Gruppe | Benutzeradministrator | |
| Lizenz zuweisen | Lizenzadministrator | Benutzeradministrator |
| Erstellen eines Gastbenutzers | Gasteinladender | Benutzeradministrator |
| Zurücksetzen der Gastbenutzer-Einladung | Helpdeskadministrator | Benutzeradministrator |
| Benutzer erstellen | Benutzeradministrator | |
| Löschen von Benutzern | Benutzeradministrator | |
| Ungültige Aktualisierungstoken von Administratoren mit eingeschränkten Berechtigungen | Benutzeradministrator | |
| Ungültige Aktualisierungstoken von Nicht-Administratoren | Helpdeskadministrator | Benutzeradministrator |
| Ungültige Aktualisierungstoken von privilegierten Administratorrollen | Privilegierter Authentifizierungsadministrator | |
| Lesen einer Standardkonfiguration | Standardbenutzerrolle | |
| Zurücksetzen des Kennworts für eingeschränkte Administratoren | Benutzeradministrator | |
| Zurücksetzen des Kennworts von Nicht-Administratoren | Kennwortadministrator | Benutzeradministrator |
| Zurücksetzen des Kennworts von privilegierten Administratoren | Privilegierter Authentifizierungsadministrator | |
| Widerrufen von Lizenzen | Lizenzadministrator | Benutzeradministrator |
| Verwalten aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens | Benutzeradministrator | |
| Aktualisieren der Eigenschaft „Lokale Synchronisierung aktiviert“ | Hybrididentitätsadministrator | |
| Aktualisieren des Benutzerprinzipalnamens für Administratoren mit eingeschränkten Berechtigungen | Benutzeradministrator | |
| Aktualisieren der Benutzerprinzipalnamens-Eigenschaft für Administratoren mit eingeschränkten Berechtigungen | Privilegierter Authentifizierungsadministrator | |
| Aktualisieren von Benutzereinstellungen: Standardberechtigungen für Benutzerrollen | Administrator für privilegierte Rollen | |
| Aktualisieren von Benutzereinstellungen – Gastbenutzerzugriff | Administrator für privilegierte Rollen | |
| Aktualisieren von Benutzereinstellungen – Verwaltungscenter | Globaler Administrator | |
| Aktualisieren von Benutzereinstellungen – LinkedIn-Kontoverbindungen | Globaler Administrator | |
| Aktualisieren von Benutzereinstellungen – Anzeigen, dass der Benutzer angemeldet bleibt | Globaler Administrator | |
| Aktualisieren von Authentifizierungsmethoden | Authentifizierungsadministrator | Privilegierter Authentifizierungsadministrator |